Re: два маршрута по умолчанию. что это значит.
В сообщении от середа, 17-гру-2008 Владимир Ступин написал(a): По-моему будет осуществляться балансировка нагрузки, но не попакетная а помаршрутная. То есть в кэш маршрутов будет добавлена запись, что вот этот конкретный хост доступен по вот этому конкретному маршруту. И этот маршрут в кэше будет сохраняться до тех пор, пока он используется. Маршруты к разным узлам будут выбираться произвольно, но оставаться некоторое время в кэше маршрутов. Нет. Описанное тобой поведение - это route add default via x.x.x.x nexthop via y.y.y.y -- JID: alexey#boyko,km,ua
Re: два маршрута по ум олчанию. что это значит.
On Wed, Dec 17, 2008 at 09:16:44AM +0500, Владимир Ступин wrote: 16 декабря 2008 г. 23:42 пользователь Stanislav Maslovski stanislav.maslov...@gmail.com написал: On Tue, Dec 16, 2008 at 12:35:44AM +0200, Alexey Boyko wrote: Заметил, что можно установить два маршрута по умолчанию. Если метрика одинакова -- выбор маршрута зависит от порядка помещения записей с таблицу маршрутизации. ЗЫ: Знатоки, поправьте, если ошибаюсь. По-моему будет осуществляться балансировка нагрузки, но не попакетная а помаршрутная. То есть в кэш маршрутов будет добавлена запись, что вот этот конкретный хост доступен по вот этому конкретному маршруту. И этот маршрут в кэше будет сохраняться до тех пор, пока он используется. Маршруты к разным узлам будут выбираться произвольно, но оставаться некоторое время в кэше маршрутов. Так было бы логичнее, в самом деле. Просто я видел жалобы, что как раз такой балансировки linux в случае нескольких маршрутов не делает, а выбирает первый подходящий. Сам не проверял. Еще мне в личку написали, что метрику используют только routing daemons, а ядро ее игнорирует. man route это подтверждает. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Plain text to (x)html
On Tue, Dec 16, 2008 at 08:33:36PM +0200, Serhiy Storchaka wrote: Stanislav Maslovski wrote: On Tue, Dec 16, 2008 at 03:36:37PM +0200, Serhiy Storchaka wrote: Но распространяя его, я либо явно это документирую, либо умолчанием сделаю кодировку локали, либо сделаю опцию для явного указания кодировки. Дык, отмеченное ^^^ и было сделано автором. Нет, даже это не сделано. Опция -8 отвечает за отключение представления не-ascii символов Latin-1 как entities. О входной кодировке ни слова. Не говоря уже о том, что это — худший из вариантов (самый ленивый). Ну это просто замечательно. Сначала человек сам предлагает этот вариант (документированная восьмибитная прозрачность), теперь сам же его критикует! Проблема в том, что таких решений _много_. Поддержка у них разная, одни давно заброшены и морально устарели (если ими никто не пользуется), другие слишком громоздкие для конкретно этой задачи. Мой вопрос как раз и состоял в том, чтобы узнать, каким инструментом чаще всего пользуются. Он и будет работающим и поддерживаемым. На этот вопрос ответы были даны. И все разные. Из чего я заключаю, что люди предпочитают пользоваться первым попавшимся подходящим для этого инструментом, а скорее всего — самодельным. Ну и я буду. Никто не оспаривает вашего права изобретать велосипеды. Я лишь ставлю под сомнение полезность этого дела (исключая пользу в смысле выработки эндорфинов в процессе такого самоудовлетворения). Он мне не подходит. Реального обоснования этого момента я так и не увидел. Почему это я обязан писать багрепорт? Я просто возьму _другой_ инструмент (благо их существует несколько десятков). Кто пользуется — тот пусть и пишет багрепорты. Дык, это только подтверждает мои тезис о потребительском подходе. Разумеется. Открою вам большую тайну — практически всё свободное программное обеспечение (и думаю даже большая часть вообще всех программ) написаны именно с потребительскими целями. Для себя. И в дальнейшем развитии и сопровождении эта причина тоже достаточно существенна. Подмена понятий. Потребительский подход, о котором говорю я, это использование готового без какой-либо отдачи. Вы же говорите о том, что программы вырастают из практических нужд их авторов. Кто же с этим поспорит? В этом смысле автор тоже потребитель. Но вы же не станете утверждать, что он лишь потребляет, никак не способствуя развитию проекта? Исправление ошибки в Lenny показывает, что кто-то всё же пользуется. А также то, что не все неанглоязычные пользователи наплевательски относятся к качеству пакетов в дистрибутиве (в смысле поддержки национальных кодировок). Раздолбайство же русскоговорящих в этом плане меня всегда удивляло. У нас обычно ждут и надеются, что какой-нибудь более обязательный немец возмет и добавит поддержку русского... Какой мне интерес исправлять программу, которой я не пользуюсь? Утилита написана 14 лет назад, я о её существовании узнал несколько дней назад. Кроме неё существует ещё несколько десятков аналогов в репозитарии. Если до релиза этча ошибку не обнаружили (и в обновлениях нет) — значит пакет относится к почти неиспользуемому и необновляемому мусору. И его ошибки — исключительно проблема тех, кто его использует (я в их число не вхожу). Вот вы спешите делать необоснованные и далеко идущие выводы, позвольте и мне тогда. Я из нашей дискуссии пока могу сделать вывод, что ваш исходный пост, где вы спрашивали, какой инструмент можно было бы применить к вашей задаче, изначально не имел никакого смысла, так как все предложенные варианты были без обсуждения вами отвергнуты. Со мной вы спорите скорее из желание поспорить, чем из желания извлечь что-то конструктивное. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Печать в KDE и не только
On 2008.12.16 at 18:47:01 +0300, Artem Chuprina wrote: Еще можно попробовать из gimp, плагином gimp-print. Возможно, он минует стадию PostScript, что сильно ускорит процесс... Оно теперь называется (в lenny и выше) gutenprint и является не умолчательным вариантом печати из gimp. Действительно умеет сразу в PCL -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Plain text to (x)html
Stanislav Maslovski wrote: On Tue, Dec 16, 2008 at 08:33:36PM +0200, Serhiy Storchaka wrote: Нет, даже это не сделано. Опция -8 отвечает за отключение представления не-ascii символов Latin-1 как entities. О входной кодировке ни слова. Не говоря уже о том, что это — худший из вариантов (самый ленивый). Ну это просто замечательно. Сначала человек сам предлагает этот вариант (документированная восьмибитная прозрачность), теперь сам же его критикует! Ну а что же в этом удивительного? Предложенные варианты имеют разную степень качества. И в txt2html ни о какой _прозрачности_ речь не идёт. На этот вопрос ответы были даны. И все разные. Из чего я заключаю, что люди предпочитают пользоваться первым попавшимся подходящим для этого инструментом, а скорее всего — самодельным. Ну и я буду. Никто не оспаривает вашего права изобретать велосипеды. Я лишь ставлю под сомнение полезность этого дела (исключая пользу в смысле выработки эндорфинов в процессе такого самоудовлетворения). Если бы я не ставил это под сомнение, исходный вопрос вообще не возник бы. Вопрос поставлен, ответ получен. Я им воспользовался. К чему ваши наезды — не пойму. Он мне не подходит. Реального обоснования этого момента я так и не увидел. Неработоспособность имеющейся в наличии версии, неудобство умолчаний. Решение, использующее txt2html, будет длиннее решения, не использующего его («велосипеда») и не так гибко. Мне не нужен такой txt2html! Подмена понятий. Потребительский подход, о котором говорю я, это использование готового без какой-либо отдачи. Вы же говорите о том, что программы вырастают из практических нужд их авторов. Кто же с этим поспорит? В этом смысле автор тоже потребитель. Но вы же не станете утверждать, что он лишь потребляет, никак не способствуя развитию проекта? Что вы от меня хотите? Чтобы я вам задаром разрабатывал программы, которые меня совершенно не интересуют? Вот вы спешите делать необоснованные и далеко идущие выводы, позвольте и мне тогда. Я из нашей дискуссии пока могу сделать вывод, что ваш исходный пост, где вы спрашивали, какой инструмент можно было бы применить к вашей задаче, изначально не имел никакого смысла, так как все предложенные варианты были без обсуждения вами отвергнуты. Со мной вы спорите скорее из желание поспорить, чем из желания извлечь что-то конструктивное. Я просто не пойму чего вы ко мне прицепились, за что взъелись? Да, предложенный _вами_ вариант мне не подходит (я попробовал его ещё перед тем, как спрашивать). Зачем воспринимать это как личное оскорбление? Сперва я думал, что вы имеете какое-то отношение к разработке или поддержке txt2html, что хотите узнать о имеющихся ошибках и недочётах, что именно этим объясняется ваша несколько нервная реакция. Но теперь вижу (и по этой, и по нескольким соседним веткам), что ваш хамоватый тон очевидно вызван совершенно другими причинами. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Индикатор на USB flas h
Andrey Melnikoff пишет: Игорь Чумак i.chu...@generali.garant.ua wrote: Andrey Melnikoff пишет: Murat D. Kadirov bander...@gmail.com wrote: [...] PS: Особенно, извращенно смотрится оригиальное желание автора, когда в машине стоит внутренний кард-ридер+винды.. Отмонтировал флешку в кардридере - перезагружайся. Или велком в диспетчер устройств щелкать USB хабами. Под виндами безопасное извлечение устройства приводит к перезагрузке?? Версию виндов, плз. Любая XP. Хорошо - еще раз и медленно. При безопасном извлечении устройства, винда отключает питание на порту USB. Если в этот порт вставленна флешка - то никаких проблем вынуть-вставить её не возникает. Но если этот порт находиться на матери и в него вставлен кард-ридер 21в1 - то прийдеться или перезагрузиться (т.к. разбирать машину и передергивать хвост кардридера это перебор) или дергать все USB хабы в диспетчере устройств. Так понятнее ? Да, воспроизвёл, так и есть. Никогда не пользовался встроенным кардридером ;) Согласен, umount питание отключать не обязан. Но eject (самый близкий аналог безопасного отключения) отключает питание на USB, но не у всех - вот что странно... -- -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Denis B. Afonin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 12:56:11
+0300:
DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru
Unix-like -- для кинестетиков, Emacs -- для аудиалов, Mac -- для визуалов,
Windows -- для чайников
-- RockMover in rm279891167063140rmo...@golovolomka.net
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Re: накрылась почтовая система
Может, с правами на /var/spool/exim4/input что-то не так? # ls -l /var/spool/exim4 total 16 drwxr-x--- 2 Debian-exim Debian-exim 4096 2008-10-17 11:44 db/ -rw-r--r-- 1 rootroot 424 2008-07-19 22:24 gnutls-params drwxr-x--- 2 Debian-exim Debian-exim 4096 2008-12-16 21:42 input/ drwxr-x--- 2 Debian-exim Debian-exim 4096 2008-12-16 21:42 msglog/ Да вроде все нормально: # ls -l /var/spool/exim4 итого 44 drwxr-x--- 2 Debian-exim Debian-exim 4096 2008-02-23 13:22 db drwxr-x--- 2 Debian-exim Debian-exim 28672 2008-12-17 07:30 input drwxr-x--- 2 Debian-exim Debian-exim 12288 2008-12-17 07:30 msglog Exim-у для доставки писем зачем-то понадобился файл ~/.forward , Не понял. # cat /var/spool/exim4/msglog/1LCJyy-0001ca-Vw 2008-12-15 23:24:01 Received from adolfvdovenk...@yahoo.com H=localhost (lin) [127.0.0.1] P=esmtp S=9587 id=386901c95a3c$97cfded0$2de7a...@host56236dynamic.1087r.retail.telecomitalia.it 2008-12-15 23:24:01 o...@localhost R=userforward defer (-1): require_files: error for /home/o/.forward: Permission denied r...@lin:/var/spool/exim4/msglog# ls -l /home/o/.forward -rw-r--rwx 1 o o 0 2008-12-16 00:03 /home/o/.forward r...@lin:/var/spool/exim4/msglog# Поэтому Exim складывает письма пока у себя. Это куда же? Все сюда: # ls /var/spool/exim4/input 1LCJyq-0001cX-3I-D 1LCJz1-0001cc-Rw-H 1LCJz5-0001cn-IP-D 1LCJz9-0001cy-45-H 1LCJzE-0001d9-W1-D 1LCJzJ-0001dK-Uc-H 1LCJyq-0001cX-3I-H 1LCJz2-0001cc-7D-D 1LCJz5-0001cn-IP-H 1LCJz9-0001cy-LY-D 1LCJzE-0001d9-W1-H 1LCJzK-0001dK-Uq-D 1LCJyr-0001cX-Bf-D 1LCJz2-0001cc-7D-H 1LCJz5-0001cn-OJ-D 1LCJz9-0001cy-LY-H 1LCJzF-0001d9-Iy-D 1LCJzK-0001dK-Uq-H 1LCJyr-0001cX-Bf-H 1LCJz2-0001cc-G9-D 1LCJz5-0001cn-OJ-H 1LCJzA-0001cy-79-D 1LCJzF-0001d9-Iy-H 1LCJzL-0001dK-J7-D 1LCJyy-0001ca-Vw-D 1LCJz2-0001cc-G9-H 1LCJz5-0001cn-Td-D 1LCJzA-0001cy-79-H 1LCJzF-0001d9-Vw-D 1LCJzL-0001dK-J7-H 1LCJyy-0001ca-Vw-H 1LCJz2-0001cc-MR-D 1LCJz5-0001cn-Td-H 1LCJzA-0001cy-HR-D 1LCJzF-0001d9-Vw-H 1LCJzL-0001dK-NU-D 1LCJz0-0001cc-2N-D 1LCJz2-0001cc-MR-H 1LCJz6-0001cn-Rb-D 1LCJzA-0001cy-HR-H 1LCJzG-0001d9-JR-D 1LCJzL-0001dK-NU-H 1LCJz0-0001cc-2N-H 1LCJz3-0001cn-5a-D 1LCJz6-0001cn-Rb-H 1LCJzB-0001cy-0D-D 1LCJzG-0001d9-JR-H 1LCJzL-0001dK-S2-D 1LCJz0-0001cc-G0-D 1LCJz3-0001cn-5a-H 1LCJz7-0001cy-CJ-D 1LCJzB-0001cy-0D-H 1LCJzH-0001d9-AY-D 1LCJzL-0001dK-S2-H 1LCJz0-0001cc-G0-H 1LCJz3-0001cn-Eo-D 1LCJz7-0001cy-CJ-H 1LCJzB-0001d9-PL-D 1LCJzH-0001d9-AY-H 1LCJzM-0001dK-Di-D 1LCJz0-0001cc-TN-D 1LCJz3-0001cn-Eo-H 1LCJz7-0001cy-GE-D 1LCJzB-0001d9-PL-H 1LCJzI-0001dK-9I-D 1LCJzM-0001dK-Di-H 1LCJz0-0001cc-TN-H 1LCJz3-0001cn-Ko-D 1LCJz7-0001cy-GE-H 1LCJzC-0001d9-4L-D 1LCJzI-0001dK-9I-H 1LCJzO-0001dV-3S-D 1LCJz1-0001cc-9f-D 1LCJz3-0001cn-Ko-H 1LCJz7-0001cy-Lz-D 1LCJzC-0001d9-4L-H 1LCJzI-0001dK-PL-D 1LCJzO-0001dV-3S-H 1LCJz1-0001cc-9f-H 1LCJz4-0001cn-Ju-D 1LCJz7-0001cy-Lz-H 1LCJzC-0001d9-Ea-D 1LCJzI-0001dK-PL-H 1LCJzO-0001dV-7a-D 1LCJz1-0001cc-Fk-D 1LCJz4-0001cn-Ju-H 1LCJz7-0001cy-Ss-D 1LCJzC-0001d9-Ea-H 1LCJzJ-0001dK-3I-D 1LCJzO-0001dV-7a-H 1LCJz1-0001cc-Fk-H 1LCJz4-0001cn-P7-D 1LCJz7-0001cy-Ss-H 1LCJzC-0001d9-Ru-D 1LCJzJ-0001dK-3I-H 1LCJzO-0001dV-Ge-D 1LCJz1-0001cc-N0-D 1LCJz4-0001cn-P7-H 1LCJz8-0001cy-T6-D 1LCJzC-0001d9-Ru-H 1LCJzJ-0001dK-M3-D 1LCJzO-0001dV-Ge-H 1LCJz1-0001cc-N0-H 1LCJz4-0001cn-VT-D 1LCJz8-0001cy-T6-H 1LCJzD-0001d9-6o-D 1LCJzJ-0001dK-M3-H 1LCJzO-0001dV-SS-D 1LCJz1-0001cc-Rw-D 1LCJz4-0001cn-VT-H 1LCJz9-0001cy-45-D 1LCJzD-0001d9-6o-H 1LCJzJ-0001dK-Uc-D 1LCJzO-0001dV-SS-H -- С уважением , Антон. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Denis B. Afonin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 17:45:26
+0300:
DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на
DBA весь мир :)
У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
DBA См. man openvpn на предмет tls-auth (плюс нестандартный UDP-порт и,
DBA конечно же, PKI - почти рай для параика:))
tls-auth - shared secret. Это плохо.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru
Greenspun's Tenth Rule of Programming: any sufficiently complicated C
or Fortran program contains an ad hoc informally-specified bug-ridden
slow implementation of half of Common Lisp.
-- Phil Greenspun
Including Common Lisp.
-- Robert Morris
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
radeon9600 + compiz
Доброго времени суток, all Пытаюсь настроить приятелю сабжевую связку. В свежепоставленной ubun'те опрометчиво согласился на предложение системы поставить проприетарные драйвера. За это получил белый экран после входа (de: gnome). Заменил в xorg.conf на vesa, снёс автоматические, начал ставить драйвера с сайта ati. Cначала попытался создать пакет для ubuntu hardy, но вылезли дикие error'ы которые я не смог победить (мол, не могу создать каталог в /tmp) и пришлось ставить на автомате. Поставил, перегрузил иксы - опять белый экран. Снёс компиз, поставил vesa и ещё раз прошел процедуру установки дров с сайта. В итоге имею установленные драйвера, модуль fglrx в памяти и работающий ati_catalyst_center. Но direct rendering: No. Это последнее особенно удивило, я привык на nvidia что если уж дрова встали, то 3d точно есть. В аттаче xorg.conf и ругань сервера. Буду благодарен за любые подсказки (в сеть уже обгуглился весь). -- Timohty Silent r...@gomer:/home/lebor# cat /var/log/Xorg.0.log | grep EE (WW) warning, (EE) error, (NI) not implemented, (??) unknown. (II) Loading extension MIT-SCREEN-SAVER (EE) fglrx(0): Failed to initialize ASIC in kernel. (EE) fglrx(0): [agp] Failed to get AGP mode! (EE) fglrx(0): cannot init AGP (EE) fglrx(0): atiddxDriScreenInit failed, GPS not been initialized. (EE) fglrx(0): XMM failed to open CMMQS connection. r...@gomer:/home/lebor# cat /var/log/Xorg.0.log | grep WW (WW) warning, (EE) error, (NI) not implemented, (??) unknown. (WW) The directory /usr/share/fonts/X11/cyrillic does not exist. (WW) fglrx: No matching Device section for instance (BusID PCI:1:0:1) found (WW) fglrx: No matching Device section for instance (BusID PCI:1:0:1) found (WW) fglrx(0): board is an unknown third party board, chipset is supported (WW) fglrx(0): Only one display is connnected,so single mode is enabled (WW) fglrx(0): could not detect X server version (query_status=-1) (WW) fglrx(0): *** (WW) fglrx(0): * DRI initialization failed! * (WW) fglrx(0): * (maybe driver kernel module missing or bad) * (WW) fglrx(0): * 2D acceleraton available (MMIO) * (WW) fglrx(0): * no 3D acceleration available* (WW) fglrx(0): * * (WW) fglrx(0): Option VendorName is not used (WW) fglrx(0): Option ModelName is not used (WW) Configured Mouse: No Device specified, looking for one... xorg.conf Description: Binary data
Re: sudo ws root
Twas brillig at 19:34:02 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre and gimble: VW Увы, если уж мы про remote root exploit, или хотя бы remote shell, VW то его достаточно одного. Во внешнем слое защиты. Ну почему же? Сервер OpenVPN сделать изолированным от всего остального гейтом внутрь. --
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
AC Ручные действия, необходимые для пересборки пакетов и lenny-а, AC перечислять не будем. apt-get source pbuilder build ? Это больше, чем разбирательство с теми, эээ, портами? glibc и прочие базовые библиотеки обновлять будем? И не надо этого эээ ;-) Список эээ недостатков по сравнению с мне известен. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
Twas brillig at 18:39:53 17.12.2008 UTC+02 when v...@gmx.net did gyre and gimble: AC glibc и прочие базовые библиотеки обновлять будем? На кой хрен? AC И не надо этого эээ ;-) Список эээ недостатков по сравнению с AC мне известен. Прощайте. С людьми, считающими собеседников идиотами, общаться не имею ни малейшего желания. --
Re: sudo ws root
17.12.08, 19:35, Mikhail Gusarov dotted...@dottedmag.net: VW Увы, если уж мы про remote root exploit, или хотя бы remote shell, VW то его достаточно одного. Во внешнем слое защиты. Ну почему же? Сервер OpenVPN сделать изолированным от всего остального гейтом внутрь. -- Вообще, если говорить про настоящую паранойю, то требуется использовать файрвол (с VPN'ом) и систему внутри от разных вендоров и разных платформ. Например, шлюз - железячный роутер, или (о ужас) Microsoft Windows Server RRaS. Главное, чтобы разные. И чем более разные (т.е. не два разных линуха), тем лучше. -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
Aleksey Cheusov - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 18:07:09
+0200:
Пожалуйста, если не затруднит, дай адрес бекпорта с emacs22.
С ним все пакеты для etch будут работать?
AC Это не backports, но хороший способ точечно обновлять все что угодно
AC без прясок с бубном и без обновления критичных компонент системы. Там
AC есть гораздо больше, чем в любых бэкпортах.
AC www.pkgsrc.org
AC Прямо сейчас пишу из emacs/gnus, собранного оттуда.
А я - из тупо пересобранного под etch пакета из lenny... Зачем платить
больше?
AC Лучше день потерять, зато потом за 5 минут долететь(С) ;-)
AC Ручные действия, необходимые для пересборки пакетов и lenny-а,
AC перечислять не будем.
Действительно не будем. А то как-то нехорошо может получиться. Там
одно слово, Леш. И оно встраивается в систему. Т.е., в частности,
предоставляет себя другим пакетам, и если те написаны правильно, их
пересобирать уже не надо.
AC А уж насколько проще pkgsrc для тестирования вашего пропатченного
AC openssl-я и софта, собранного с ним, на разных платформах... ;-)
AC Не, оно натурально стоит потраченного на него времени.
Вот это - может быть. Если подумать. Потому что там как раз бинарной
совместимости нету, надо пересобирать.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru
Программы на Haskell настолько ленивы, что по умолчанию вообще не хотят
работать.
-- http://absurdopedia.wikia.com/wiki/Haskell
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Denis B. Afonin пишет: On Fri, 12 Dec 2008 13:45:22 +0300 Artem Chuprina r...@ran.pp.ru wrote: У openvpn, начнем с, есть принципиальные грабли в безопасности по сравнению с ssh. Обходить их можно, но очень геморройно получается. Они становятся заметны, когда разным VPN-клиентам нужно давать разный доступ. Хотя на своих задачах оно, конечно, удобно, в качестве замены ssh на задаче доступа для обеспечения бэкапа оно не годится. Ну почему же совсем не годится... Само по себе - соглашусь, а вот в совокупности с ssh как дополнительная прослойка, пускающая в некую промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh - вполне себе ничего ;) Хотяб в плане логируемости... PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) И чем это им (идиотам) грозит? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Re: накрылась почтовая система
разберитесь с правами на /home, на /home/o и вообще с системой прав. У вас сейчас произвольный юзер системы (если бы почта ходила) может перенаправить всю вашу почту в /dev/ null. Да это я специально для Exim-а установил такие права, но он все равно писал error for /home/o/.forward: Permission denied Теперь пишет другое: # cat /var/spool/exim4/msglog/1LCJyr-0001cX-Bf 2008-12-15 23:23:53 Received from gl...@mail.subscribe.ru H=localhost (lin) [127.0.0.1] P=esmtp S=15610 id=20081215134416.tki.8528...@inet.free.uspeh.subscribe 2008-12-15 23:23:53 o...@localhost R=userforward defer (-1): require_files: error for /home/o/.forward: Permission denied 2008-12-17 20:23:56 o...@localhost R=userforward defer (-1): bad mode (0100647) for /home/o/.forward: 02 bit(s) unexpected Попробовал удалить этот файл /home/o/.forward и запустил r...@lin:/var/spool/exim4/msglog# exim4 -M * на удиление все доставил . Однако при новом получении почты опять сложил все у себя и затребовал файл /home/o/.forward. После команды r...@lin:/var/spool/exim4/msglog# exim4 -M * снова все доставил по пользовательским ящикам. Вот такие дела. -- С уважением , Антон. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/pa ste для emacs (compound-text-with-extensions).
On 2008.12.17 at 20:02:38 +0300, Artem Chuprina wrote: AC А уж насколько проще pkgsrc для тестирования вашего пропатченного AC openssl-я и софта, собранного с ним, на разных платформах... ;-) AC Не, оно натурально стоит потраченного на него времени. Вот это - может быть. Если подумать. Потому что там как раз бинарной совместимости нету, надо пересобирать. Я уже думал. И по поводу pkgsrc, и по поводу epm (который в Debian есть, кстати). И пришел к выводу, что никакой пользы, кроме вреда от этого нет. Потому что тестировать надо не абы что, а то, что будет потом поставляться заказчикам. Коммерческим заказчикам. Объяснить админам этих заказчиков что этот пакет ставится так, как ставятся все пакеты в ВАШЕЙ операционной системе, а если вы этого не понимаете, читайте документацию от ВАШЕГО вендора - можно. А вот объяснить что-де у нас своя система, которая круче крутых яиц потому что её изобрел лично Чеусов - уже сложнее. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Печать в KDE и не только
On Wed, Dec 17, 2008 at 02:11:45PM +0300, Alexey Pechnikov wrote: Hello! В сообщении от Wednesday 17 December 2008 12:09:16 Victor Wagner написал(а): Еще можно попробовать из gimp, плагином gimp-print. Возможно, он минует стадию PostScript, что сильно ускорит процесс... Оно теперь называется (в lenny и выше) gutenprint и является не умолчательным вариантом печати из gimp. Действительно умеет сразу в PCL Оно только из gimp работает или можно ставить вместо foo2zjs? Это просто еще один CUPS фильтр + PPD. Для большинства принтеров обеспечивает высокое качество и (как не удивительно) быстродействие. В Вашем случае, скорее всего, просто запустит foo2zjs. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: radeon9600 + compiz
17 декабря 2008 г. 19:39 пользователь Иван Лох l...@1917.com написал: On Wed, Dec 17, 2008 at 05:16:17PM +0300, Timothy Silent wrote: Доброго времени суток, all Пытаюсь настроить приятелю сабжевую связку. В свежепоставленной ubun'те опрометчиво согласился на предложение Оффтопик, однако Однако, та же проблема в Debian, тот же белый экран. Мне как-то наплевать на компиз, но все же интересует, возможно ли настроить сабж.
Re: sudo ws root
17.12.08, 19:54, Dmitry Marin cor...@corvax.ru: VW Увы, если уж мы про remote root exploit, или хотя бы remote shell, VW то его достаточно одного. Во внешнем слое защиты. Ну почему же? Сервер OpenVPN сделать изолированным от всего остального гейтом внутрь. Вообще, если говорить про настоящую паранойю, то требуется использовать файрвол (с VPN'ом) и систему внутри от разных вендоров и разных платформ. Например, шлюз - железячный роутер, или (о ужас) Microsoft Windows Server RRaS. Главное, чтобы разные. И чем более разные (т.е. не два разных линуха), тем лучше. Очень спорно. На портяжении всего прощедшего года неоднократно читал убедительные доказательства, что мультивендорность приносит больше проблем, нежели пользы. Ключевой момент -- поддержка различных устрйоств\программ отнимает больше средств, времени и требует куда больших специальных знаний. Последнее конечно совесм не плохо само по себе, но часто это выливается в необходимость иметь в штате еще одного специалиста со всеми вытекабими. Ну, TCO у мультивендорной системы выше, да. Заметим, у системы из шлюз раздельно машина раздельно и TCO и начальная стоимость тоже выше, чем у просто машины, торчащей наружу 22ым портом. Так что в линии паранойи всё начинается с наличия пароля на ssh (разумный минимальный уровень безопасности) и заканчивается мультивендорной системой из двух файрволов с NAT'ом локальной сети относительно DMZ. Моё имхо, что здравое место в этой линейке - в просто хорошем пароле на ssh. Хотя, конечно, если конфигурация предусматривает файрвол (да ещё с возможностью VPN) - почему бы и нет? -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
17.12.08, 13:38, Игорь Чумак i.chu...@generali.garant.ua: Ну почему же совсем не годится... Само по себе - соглашусь, а вот в совокупности с ssh как дополнительная прослойка, пускающая в некую промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh - вполне себе ничего ;) Хотяб в плане логируемости... PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) И чем это им (идиотам) грозит? Если у них (идиотов) надёжный пароль (не брутящийся по словарю) - то засраными логами и некоторым трафиком (меньшим, чем от долбящихся на 25 порт спамеров). Хотя да, существует особый вид ключей RSA для (вымерших) видов, его в виде апдейта всем выдают. Если же у них (не идиотов) пароль, который ломают даже китайские роботы, то этот не идиот совсем не идиот, а вид, требующий охраны и занесения в Красную Книгу. Алсо, я не понимаю, в чём разница между долбящимися на ssh ботами и долбящимися по pptp на VPN-шлюз роботами. -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Re: накрылась почтовая система
В Срд, 17/12/2008 в 20:49 +0300, Anton пишет: разберитесь с правами на /home, на /home/o и вообще с системой прав. У вас сейчас произвольный юзер системы (если бы почта ходила) может перенаправить всю вашу почту в /dev/ null. Да это я специально для Exim-а установил такие права, но он все равно писал error for /home/o/.forward: Permission denied Теперь пишет другое: # cat /var/spool/exim4/msglog/1LCJyr-0001cX-Bf 2008-12-15 23:23:53 Received from gl...@mail.subscribe.ru H=localhost (lin) [127.0.0.1] P=esmtp S=15610 id=20081215134416.tki.8528...@inet.free.uspeh.subscribe 2008-12-15 23:23:53 o...@localhost R=userforward defer (-1): require_files: error for /home/o/.forward: Permission denied 2008-12-17 20:23:56 o...@localhost R=userforward defer (-1): bad mode (0100647) for /home/o/.forward: 02 bit(s) unexpected Открытым текстом написано, что неверныеправа. Судя по гуглу, должно быть 644. chmod 644 ~/.forward -- С уважением, Дмитрий Марин. cor...@corvax.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/pa ste для emacs (compound-text-with-extensions).
On 2008.12.17 at 18:39:53 +0200, Aleksey Cheusov wrote: AC Ручные действия, необходимые для пересборки пакетов и lenny-а, AC перечислять не будем. apt-get source pbuilder build ? Это больше, чем разбирательство с теми, эээ, портами? glibc и прочие базовые библиотеки обновлять будем? Ни в коем разе. Весь смысл бэкпортирования заключается именно в том, чтобы собралось с теми библиотеками, которые уже есть в системе. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: TechnoTrend TT-budget S1401 и ядро 2.6.2 4 etchnhalf
Kotikov Aleksey пишет: Доброго времени суток. Столкнулся с проблемой завести обозначенную в сабже DVB карточку. modprobe dvb-core dvb_shutdown_timeout=0 modprobe budget szap -c /root/.szap/channels.conf -n 1 -x dvbnet -a 0 -p мой_пид ifconfig dvb0_0 hw ether мой_mac ifconfig dvb0_0 up После чего tcpdump -ni dvb0_0 рисует пустоту, а должен поток пакетов показывать. После создания VPN туннеля запросы идут, а отклика нет. На более ранних ядрах из backports работало. Была сходная проблема если не указывать параметр dvb_shutdown_timeout=0 модулю dvb-core. В офтопике на той же машине тоже пашет. Содержимое /root/.szap/channels.conf: Hellisat2:11629:h:1:20500:0:0 Что нужно довернуть в новом ядре? По данному вопросу нагуглил только что В исходниках ядра dvb_shutdown_timeout был переписан, где-то в районе 2.6.22 и сейчас он не работает. Судя по текущей версии ядра, исправлять это не торопятся. Есть какие то варианты это дело обойти? Может кто подскажет другую DVB карточку, с которой новые ядра нормально работают? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
On Wed, 17 Dec 2008 15:27:54 +0300 Artem Chuprina r...@ran.pp.ru wrote: DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на DBA весь мир :) У меня нет уверенности, что openvpn, открытый на весь мир, лучше... См. man openvpn на предмет tls-auth (плюс нестандартный UDP-порт и, конечно же, PKI - почти рай для параика:)) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Denis B. Afonin пишет: Здравствуйте. On Wed, 17 Dec 2008 12:38:19 +0200 Игорь Чумак i.chu...@generali.garant.ua wrote: PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) И чем это им (идиотам) грозит? Минимум - постоянные посторонние записи в логах от ботов, пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с sshguard, все равно анализировать такие логи на попытки несанкционированного доступа врядли будет делом приятным). Анализировать логи - само по себе занятие неприятное, для того анализаторы логов и придуманы. То есть как минимум == лишний напряг для анализатора логов. Ну а воспалённый мозг параноика может многое придумать ;) Это точно ;) Есть мнение, что системы безопасности должны строиться так, чтобы выложенный на свободный доступ расшифрованный /etc/shadow ничем никому помочь не мог.. Где такому учат?? А вообще, конечно, искренне прошу прощения за идиотов - каждый сам кузнец своего счастья. С уважением, Денис Афонин ООО Ивантеевские телекоммуникации -- Игорь Чумак, системный администратор Generali-Garant tel (044) 206-88-20 icq 24049904 jabber: i.chu...@jabber.garant.ua e-mail: i.chu...@generali.garant.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
On 2008.12.17 at 18:13:50 +0600, Mikhail Gusarov wrote: Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and gimble: DBA Минимум - постоянные посторонние записи в логах от ботов, DBA пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с DBA sshguard, все равно анализировать такие логи на попытки DBA несанкционированного доступа врядли будет делом приятным). Минимум неинтересен. Каков максимум? Максимум - рут эксплойт в sshd и машина поиметая до того, как ты успел поставить апдейт. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет: Так что в линии паранойи всё начинается с наличия пароля на ssh С каких пор паранойя стало явлением, на котрое надо равняться? ;) Моё имхо, что здравое место в этой линейке - в просто хорошем пароле на ssh. Хотя, конечно, если конфигурация предусматривает файрвол (да ещё с возможностью VPN) - почему бы и нет? Из-за увеличения сложности повышается вероятность как отказа так и ошибки в конфигурации. По совпадению, интересная дискуссия на аналогичную тему сейчас развернулась на http://dom.bankir.ru/showthread.php?t=86941 . Там упоминается про оценку рисков, а паранойя -- это нехорошее заболевание и по-моему нелепое оправдание :) -- С уважением, Дмитрий Марин. cor...@corvax.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Здравствуйте. On Wed, 17 Dec 2008 19:10:24 +0300 Artem Chuprina r...@ran.pp.ru wrote: DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на DBA весь мир :) У меня нет уверенности, что openvpn, открытый на весь мир, лучше... DBA См. man openvpn на предмет tls-auth (плюс нестандартный DBA UDP-порт и, конечно же, PKI - почти рай для параика:)) tls-auth - shared secret. Это плохо. Конечно. Именно поэтому после него идет аутентификация по PKI ;) А без правильного shared key ответный openvpn-сервер просто дропает входяшие пакеты (можно и без записи в лог). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Печать в KDE и не только
Hello! В сообщении от Wednesday 17 December 2008 12:09:16 Victor Wagner написал(а): Еще можно попробовать из gimp, плагином gimp-print. Возможно, он минует стадию PostScript, что сильно ускорит процесс... Оно теперь называется (в lenny и выше) gutenprint и является не умолчательным вариантом печати из gimp. Действительно умеет сразу в PCL Оно только из gimp работает или можно ставить вместо foo2zjs? Best regards, Alexey. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
On Fri, 12 Dec 2008 13:45:22 +0300 Artem Chuprina r...@ran.pp.ru wrote: У openvpn, начнем с, есть принципиальные грабли в безопасности по сравнению с ssh. Обходить их можно, но очень геморройно получается. Они становятся заметны, когда разным VPN-клиентам нужно давать разный доступ. Хотя на своих задачах оно, конечно, удобно, в качестве замены ssh на задаче доступа для обеспечения бэкапа оно не годится. Ну почему же совсем не годится... Само по себе - соглашусь, а вот в совокупности с ssh как дополнительная прослойка, пускающая в некую промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh - вполне себе ничего ;) Хотяб в плане логируемости... PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Печать в KDE и не только
Alexey Pechnikov - debian-russian@lists.debian.org @ Wed, 17 Dec 2008
01:14:08 +0300:
AP Это если через cups повылать задание. Через lp не знаю, как
AP работает, полагаю, так же.
lp - клиент от купса. Ну, если мы о линуксе :-)
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru
Рюмку взял - паяльник положил
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
On 2008.12.17 at 22:38:20 +0300, Dmitry Marin wrote: В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет: Так что в линии паранойи всё начинается с наличия пароля на ssh С каких пор паранойя стало явлением, на котрое надо равняться? ;) Довольно давно в некоторых отраслях IT паранойя - критерий профпригодности. А Эйрел Форкосиган, помнится, говаривал паранойя - залог здоровья. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
gtk-config gtk-devel
Здравствуйте. не могу установить сценарий gtk-config. В инете говорят что он находиться в пакете gtk-devel. sudo aptitude search gtk-devel молчит. Может в sources.list еще какой репозитарий прописать? Помогите пожалуйста с установкой gtk-config -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
Twas brillig at 15:25:07 17.12.2008 UTC+03 when r...@ran.pp.ru did gyre and gimble: AC А я - из тупо пересобранного под etch пакета из lenny... Зачем AC платить больше? А для тех, кому 23.x охота, даже собирать не надо: http://emacs.orebokech.com/ --
Re: sudo ws root
On 2008.12.17 at 14:56:43 +0300, Denis B. Afonin wrote: Здравствуйте. On Wed, 17 Dec 2008 12:38:19 +0200 Игорь Чумак i.chu...@generali.garant.ua wrote: PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) И чем это им (идиотам) грозит? Минимум - постоянные посторонние записи в логах от ботов, пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с sshguard, все равно анализировать такие логи на попытки несанкционированного доступа врядли будет делом приятным). Ну а воспалённый мозг параноика может многое придумать ;) Есть мнение, что системы безопасности должны строиться так, чтобы выложенный на свободный доступ расшифрованный /etc/shadow ничем никому помочь не мог.. Ну так это PasswordAuthentication no в /etc/sshd/sshd_config. И пусть уподбираются. Естественно, на каждом носимом с собой устройстве (ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный ключ, который в случае утраты данного устройства можно оперативно из всех authorized_keys поотрывать. Лучше б, конечно PKI туда прикрутить, чтобы отзывать ключ централизовано. Но имеющиеся патчи для прикрутки PKI к ssh мне что-то не очень понравились. Особенно в условиях, когда на некоторую машину имеют доступ разные люди, каждый из которых хочет менеджить свои ключи сам (потому что ходит по этим ключам на N машин под разной административной ответственностью). В такой конфигурации у меня, любимого есть возможность попасть на машину из любой кафешки с wi-fi и через GPRS любого сотового оператора. А супостату для этого потребуется 1. Стырить мой ноутбук/телефон/наладонник 2. Успеть подобрать пассфразу к моему ключу до того, как я это замечу и оторву соответствующие ключи воспользовавшись доступом с другого носимого устройства. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Печать в KDE и не только
Alexey Pechnikov - debian-russian@lists.debian.org @ Wed, 17 Dec 2008
05:03:33 +0300:
AP Если вы в курсе, можете подсказать, зачем были сделаны отдельные
AP драйверы вместо допиливания hp-ных? Мне казалось разумным брать
AP драйвер от производителя, раз он открытый...
Производитель железа драйвера писать, как правило, не умеет. Драйвера
писать умеет производитель ОС (в данном случае - производитель
линукспринтинга). Это вообще общее место, безотносительно того, откуда
растут ноги у HPшного драйвера в данном случае. Не говоря уже о том,
что это еще и не HP на самом деле.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru
Все гениальное просто.
Но со вкусом.
Кнышев.
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
17.12.08, 22:38, Dmitry Marin cor...@corvax.ru: Так что в линии паранойи всё начинается с наличия пароля на ssh С каких пор паранойя стало явлением, на котрое надо равняться? ;) Моё имхо, что здравое место в этой линейке - в просто хорошем пароле на ssh. Хотя, конечно, если конфигурация предусматривает файрвол (да ещё с возможностью VPN) - почему бы и нет? Из-за увеличения сложности повышается вероятность как отказа так и ошибки в конфигурации. По совпадению, интересная дискуссия на аналогичную тему сейчас развернулась на http://dom.bankir.ru/showthread.php?t=86941 . Там упоминается про оценку рисков, а паранойя -- это нехорошее заболевание и по-моему нелепое оправдание :) Паранойя - это проф. ориентир для администраторов безопасности. Если что-то (кто-то) в теории может сделать что-то плохое, то значит надо исходить из того, что он это сделает и принимать меры в упреждающем порядке. За пределами сетей, это выглядит как вороватый взгляд вокруг, железные решётки в три слоя, бронежилет и свинцовые трусы. А компьютеры (и сети) всё терпят. Тезис же о том, что увеличение уровня безопасности уменьшает надёжность системы совершенно правильный. Разумеется, машина без файрвола, пускающая без паролей надёжнее, чем спрятанная за отдельным файрволом железка, проверяющая сертификаты и банящая чуть что. Нельзя сделать безопасно и удобно, можно только найти компромисс между этими состояниями. Моё мнение, что компромисс для домашней (околодомашней) машины находится на уровне хороший пароль. Кто-то может считать, что компромисс находится за двухуровневым мультивендорным файрволом. -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Печать в KDE и не только
On 2008.12.17 at 14:11:45 +0300, Alexey Pechnikov wrote: Hello! В сообщении от Wednesday 17 December 2008 12:09:16 Victor Wagner написал(а): Еще можно попробовать из gimp, плагином gimp-print. Возможно, он минует стадию PostScript, что сильно ускорит процесс... Оно теперь называется (в lenny и выше) gutenprint и является не умолчательным вариантом печати из gimp. Действительно умеет сразу в PCL Оно только из gimp работает или можно ставить вместо foo2zjs? В lenny: Package: cups-driver-gutenprint Priority: optional Section: graphics Installed-Size: 1260 Maintainer: Debian Printing Group debian-print...@lists.debian.org Architecture: i386 Source: gutenprint Version: 5.0.2-4 Replaces: cupsys-driver-gimpprint, cupsys-driver-gimpprint-data, cupsys-driver-g utenprint Depends: libc6 (= 2.7-1), libcomerr2 (= 1.33-3), libcups2 (= 1.3.7), libcupsi mage2 (= 1.3.0), libgcrypt11 (= 1.4.0), libgnutls26 (= 2.4.0-0), libgpg-error 0 (= 1.4), libgutenprint2 (= 5.0.2), libjpeg62, libkrb53 (= 1.6.dfsg.2), libp ng12-0 (= 1.2.13-4), libtasn1-3 (= 0.3.4), libtiff4, zlib1g (= 1:1.1.4), perl (= 5.8.0), cups (= 1.3.7-6) Suggests: gutenprint-doc (= 5.0.2-4), gutenprint-locales (= 5.0.2-4) Filename: pool/main/g/gutenprint/cups-driver-gutenprint_5.0.2-4_i386.deb Size: 1005962 MD5sum: e0d0f0f213adf44b7f896b1bae65a9e2 SHA1: 292b733a1725cbc68a78595e55e75072e1b4dc46 SHA256: 1af6acc7be844ba9893da0b4c7f0e05e4425ce64ac2bdf9f4af5f1326525ac5b Description: printer drivers for CUPS This package includes a CUPS driver based on Gutenprint. . The CUPS drivers contain all of the files needed to support photo-quality printing on any printer supported by Gutenprint. You can find out more about the Common UNIX Printing System (CUPS), an IPP-based printing system for UNIX/Linux, at: . http://www.cups.org . This is Gutenprint version 5.0.2, a stable release in the 5.0 series. . Gutenprint is the print facility for the GIMP, and in addition a suite of drivers that may be used with common UNIX spooling systems using GhostScript or CUPS. These drivers provide printing quality for UNIX/Linux on a par with proprietary vendor-supplied drivers in many cases, and can be used for many of the most demanding printing tasks. Gutenprint was formerly known as Gimp-Print. Best regards, Alexey. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 22:47 +0300, Victor Wagner пишет: On 2008.12.17 at 22:38:20 +0300, Dmitry Marin wrote: В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет: Так что в линии паранойи всё начинается с наличия пароля на ssh С каких пор паранойя стало явлением, на котрое надо равняться? ;) Довольно давно в некоторых отраслях IT паранойя - критерий профпригодности. А Эйрел Форкосиган, помнится, говаривал паранойя - залог здоровья. Не знаком :) Я там не случайно поставил ехидный смайл. Давно знаком с концепцией выживают только параноики, но чем чаще какие-то странные решения оправдываются параноидальным так секурнее, тем чаще рука тянется к ружью (да, у меня другое заболевание :-). -- С уважением, Дмитрий Марин. cor...@corvax.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 15:22 +0300, George Shuklin пишет: 17.12.08, 13:38, Игорь Чумак i.chu...@generali.garant.ua: Ну почему же совсем не годится... Само по себе - соглашусь, а вот в совокупности с ssh как дополнительная прослойка, пускающая в некую промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh - вполне себе ничего ;) Хотяб в плане логируемости... PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) И чем это им (идиотам) грозит? Если у них (идиотов) надёжный пароль (не брутящийся по словарю) - то засраными логами и некоторым трафиком (меньшим, чем от долбящихся на 25 порт спамеров). Хотя да, существует особый вид ключей RSA для (вымерших) видов, его в виде апдейта всем выдают. Если же у них (не идиотов) пароль, который ломают даже китайские роботы, то этот не идиот совсем не идиот, а вид, требующий охраны и занесения в Красную Книгу. Алсо, я не понимаю, в чём разница между долбящимися на ssh ботами и долбящимися по pptp на VPN-шлюз роботами. Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как процесс у меня вызывает отвращение, может есть в виде плагинов или ещё чего нечто, что по данным демонов (ssh, smtpd, etc) может делать подобное (вызывать команды iptables), без нудного анализа логов? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Twas brillig at 17:01:19 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre and gimble: Минимум неинтересен. Каков максимум? VW Максимум - рут эксплойт в sshd и машина поиметая до того, как ты VW успел поставить апдейт. Да, пожалуй, имеет смысл. Два эксплоита в одно время на два разных слоя защиты случиться могут с гораздо меньшей вероятностью. --
Re: Индикатор на USB flash
Игорь Чумак i.chu...@generali.garant.ua wrote: Andrey Melnikoff пишет: Murat D. Kadirov bander...@gmail.com wrote: [...] PS: Особенно, извращенно смотрится оригиальное желание автора, когда в машине стоит внутренний кард-ридер+винды.. Отмонтировал флешку в кардридере - перезагружайся. Или велком в диспетчер устройств щелкать USB хабами. Под виндами безопасное извлечение устройства приводит к перезагрузке?? Версию виндов, плз. Любая XP. Хорошо - еще раз и медленно. При безопасном извлечении устройства, винда отключает питание на порту USB. Если в этот порт вставленна флешка - то никаких проблем вынуть-вставить её не возникает. Но если этот порт находиться на матери и в него вставлен кард-ридер 21в1 - то прийдеться или перезагрузиться (т.к. разбирать машину и передергивать хвост кардридера это перебор) или дергать все USB хабы в диспетчере устройств. Так понятнее ? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
12:56 Wed 17 Dec , Denis B. Afonin wrote: PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) И чем это плохо? Если у админа голова на плечах + что-то типа ssh+fail2ban вполне себе решение. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
-[ Покотиленко Костик 17/12/2008 16:05 (GMT +3) Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как процесс у меня вызывает отвращение, может есть в виде плагинов или ещё чего нечто, что по данным демонов (ssh, smtpd, etc) может делать подобное (вызывать команды iptables), без нудного анализа логов? fail2ban. Правда оно на питоне и периодически подвисает или кушает много памяти, но как-то не получается воспроизвести почему оно это делает. -- Best regards, Mikhail signature.asc Description: This is a digitally signed message part.
Re: sudo ws root
On 2008.12.17 at 20:07:21 +0600, Mikhail Gusarov wrote: Twas brillig at 17:01:19 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre and gimble: Минимум неинтересен. Каков максимум? VW Максимум - рут эксплойт в sshd и машина поиметая до того, как ты VW успел поставить апдейт. Да, пожалуй, имеет смысл. Два эксплоита в одно время на два разных слоя защиты случиться могут с гораздо меньшей вероятностью. Увы, если уж мы про remote root exploit, или хотя бы remote shell, то его достаточно одного. Во внешнем слое защиты. В этом плане openssh будет понадежнее openvpn. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Индикатор на USB flash
В Срд, 17/12/2008 в 13:45 +0300, Andrey Melnikoff пишет: Игорь Чумак i.chu...@generali.garant.ua wrote: Andrey Melnikoff пишет: Murat D. Kadirov bander...@gmail.com wrote: [...] PS: Особенно, извращенно смотрится оригиальное желание автора, когда в машине стоит внутренний кард-ридер+винды.. Отмонтировал флешку в кардридере - перезагружайся. Или велком в диспетчер устройств щелкать USB хабами. Под виндами безопасное извлечение устройства приводит к перезагрузке?? Версию виндов, плз. Любая XP. Хорошо - еще раз и медленно. При безопасном извлечении устройства, винда отключает питание на порту USB. Если в этот порт вставленна флешка - то никаких проблем вынуть-вставить её не возникает. Но если этот порт находиться на матери и в него вставлен кард-ридер 21в1 - то прийдеться или перезагрузиться (т.к. разбирать машину и передергивать хвост кардридера это перебор) или дергать все USB хабы в диспетчере устройств. Так понятнее ? Кто-то попутал понятия сменный носитель, сменное устройство и сменный носитель в сменном устройстве :) Я, конечно, кардридерами не пользовался, на на машинах с кардридерами работал: кордридер неслолько в одном в винде показывает несколько сменных носителей, которые отдельно можно безопасно извлечь. То есть если какой-то всё-таки извлечь, то именно этот обратно не вставишь до перезагрузки, правильно? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Печать в KDE и не только
On Wed, Dec 17, 2008 at 05:03:33AM +0300, Alexey Pechnikov wrote: Hello! В сообщении от Wednesday 17 December 2008 02:29:06 Иван Лох написал(а): Выкиньте hpijs. Зачем он вам нужен? И просто поставьте PPD из проекта foo2zjs для Вашего принтера. Или из фуматика, на худой конец. Спасибо, помогло - загнал все картинки в pdf, проверил на hpijs и foo2zjs, печатает на обоих, но на последнем на несколько порядков быстрее. Наверное, и просто картинки теперь напечатает. Если вы в курсе, можете подсказать, зачем были сделаны отдельные драйверы вместо допиливания hp-ных? Мне казалось разумным брать драйвер от производителя, раз он открытый... Там все было наоборот -- индусы из HP взяли foo2zjs (реверсинженеринг пополам с каким-то кодом Минолты, впрочем сейчас есть какие-то спеки с неясным статусом) и воткнули его в свой комбайн. Кривыми руками. Вообще, кроме как для сканеро-принтеро-факсов HP IJS не нужен и, IMHO, вреден. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 18:13 +0600, Mikhail Gusarov пишет: Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and gimble: DBA Минимум - постоянные посторонние записи в логах от ботов, DBA пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с DBA sshguard, все равно анализировать такие логи на попытки DBA несанкционированного доступа врядли будет делом приятным). Минимум неинтересен. Каков максимум? DBA Ну а воспалённый мозг параноика может многое придумать ;) Есть DBA мнение, что системы безопасности должны строиться так, чтобы DBA выложенный на свободный доступ расшифрованный /etc/shadow ничем DBA никому помочь не мог.. Чьё мнение? А главное - какое решение? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
Twas brillig at 18:07:09 17.12.2008 UTC+02 when v...@gmx.net did gyre and gimble: AC Ручные действия, необходимые для пересборки пакетов и lenny-а, AC перечислять не будем. apt-get source pbuilder build ? Это больше, чем разбирательство с теми, эээ, портами? --
Re: sudo ws root
Hello! В сообщении от Wednesday 17 December 2008 12:56:11 Denis B. Afonin написал(а): PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир За пределами локалки тоже есть сервера и с ними надо работать. Про датацентры, к примеру, в сша, вы хотя бы слышали? Если же вы на сервере запускаете кроме ssh еще и vpn-сервер, то уровень безопасности падает, а отнюдь не повышается. В силу очень высокой распространенности и относительной простоты openssh ошибки в нем исправляют раньше, чем они могут быть использованы для взлома. Более сложные и менее распространенные решения намного менее надежны - вы же радуетесь множеству возможностей open или какого там еще vpn-сервера, не задумываясь, что больший объем кода содержит большее число ошибок. А использование нескольких решений одновременно еще хуже - нет никаких гарантий, что взаимодействие программ не приведет к непредсказуемым эффектам, такую ситуацию никто не тестировал и вы это делаете на свой риск. В качестве аналогии - комбинация кованого замка и рва с водой при высокой температуре может привести к тому, что замок просто сгниет. Best regards, Alexey. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Здравствуйте. On Wed, 17 Dec 2008 12:38:19 +0200 Игорь Чумак i.chu...@generali.garant.ua wrote: PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) И чем это им (идиотам) грозит? Минимум - постоянные посторонние записи в логах от ботов, пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с sshguard, все равно анализировать такие логи на попытки несанкционированного доступа врядли будет делом приятным). Ну а воспалённый мозг параноика может многое придумать ;) Есть мнение, что системы безопасности должны строиться так, чтобы выложенный на свободный доступ расшифрованный /etc/shadow ничем никому помочь не мог.. А вообще, конечно, искренне прошу прощения за идиотов - каждый сам кузнец своего счастья. С уважением, Денис Афонин ООО Ивантеевские телекоммуникации -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: накрылась почтова я система
Anton wrote: r...@lin:/var/spool/exim4/msglog# ls -l /home/o/.forward -rw-r--rwx 1 o o 0 2008-12-16 00:03 /home/o/.forward разберитесь с правами на /home, на /home/o и вообще с системой прав. У вас сейчас произвольный юзер системы (если бы почта ходила) может перенаправить всю вашу почту в /dev/null. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
George Shuklin wrote: 17.12.08, 19:35, Mikhail Gusarov dotted...@dottedmag.net: VW Увы, если уж мы про remote root exploit, или хотя бы remote shell, VW то его достаточно одного. Во внешнем слое защиты. Ну почему же? Сервер OpenVPN сделать изолированным от всего остального гейтом внутрь. -- Вообще, если говорить про настоящую паранойю, то требуется использовать файрвол (с VPN'ом) и систему внутри от разных вендоров и разных платформ. Например, шлюз - железячный роутер, или (о ужас) Microsoft Windows Server RRaS. Главное, чтобы разные. И чем более разные (т.е. не два разных линуха), тем лучше. Очень спорно. На портяжении всего прощедшего года неоднократно читал убедительные доказательства, что мультивендорность приносит больше проблем, нежели пользы. Ключевой момент -- поддержка различных устрйоств\программ отнимает больше средств, времени и требует куда больших специальных знаний. Последнее конечно совесм не плохо само по себе, но часто это выливается в необходимость иметь в штате еще одного специалиста со всеми вытекабими. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 22:56 +0300, George Shuklin пишет: Из-за увеличения сложности повышается вероятность как отказа так и Паранойя - это проф. ориентир для администраторов безопасности. Если что-то (кто-то) в теории может сделать что-то плохое, то значит надо исходить из того, что он это сделает и принимать меры в упреждающем порядке. За пределами сетей, это выглядит как вороватый взгляд вокруг, железные решётки в три слоя, бронежилет и свинцовые трусы. А компьютеры (и сети) всё терпят. Допустим. Только не забывайте, что нож еще используется на кухне! :-) А если компьютеры у вас все терпят, то и работайте на компьютере, отключенном от ВСЕХ сетей. Шутка. Тезис же о том, что увеличение уровня безопасности уменьшает надёжность системы совершенно правильный. Разумеется, машина без файрвола, пускающая без паролей надёжнее, чем спрятанная за отдельным файрволом железка, проверяющая сертификаты и банящая чуть что. Нельзя сделать безопасно и удобно, можно только найти компромисс между этими состояниями. Если это ехидство, то вы передергиваете. Я писал про увеличение _сложности_. А оно для меня не является таким уж очевидным критерием безопасности. -- С уважением, Дмитрий Марин. cor...@corvax.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Hello! В сообщении от Wednesday 17 December 2008 22:47:58 Victor Wagner написал(а): Так что в линии паранойи всё начинается с наличия пароля на ssh С каких пор паранойя стало явлением, на котрое надо равняться? ;) Довольно давно в некоторых отраслях IT паранойя - критерий профпригодности. Вы можете назвать случаи, чтобы взламывали именно openssh-server и не методом подбора/кражи пароля? Я вот не знаю о таких. Так что это скорее шизофрения, и лечиться надо, а не гордиться. P.S. Сертификат против пароля - это стратегия что имею против что знаю. И само по себе использование сертификата надежности не прибавляет и не убавляет. Best regards, Alexey. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
On 2008.12.17 at 15:27:54 +0300, Artem Chuprina wrote: Denis B. Afonin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 12:56:11 +0300: DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) У меня нет уверенности, что openvpn, открытый на весь мир, лучше... Если админ оного vpn знает, зачем придумали CRL, то может и лучше... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and gimble: DBA Минимум - постоянные посторонние записи в логах от ботов, DBA пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с DBA sshguard, все равно анализировать такие логи на попытки DBA несанкционированного доступа врядли будет делом приятным). Минимум неинтересен. Каков максимум? DBA Ну а воспалённый мозг параноика может многое придумать ;) Есть DBA мнение, что системы безопасности должны строиться так, чтобы DBA выложенный на свободный доступ расшифрованный /etc/shadow ничем DBA никому помочь не мог.. Чьё мнение? --
Re: Печать в KDE и не только
On Wed, Dec 17, 2008 at 01:25:36PM +0300, Artem Chuprina wrote: Производитель железа драйвера писать, как правило, не умеет. Драйвера писать умеет производитель ОС (в данном случае - производитель линукспринтинга). Это вообще общее место, безотносительно того, откуда растут ноги у HPшного драйвера в данном случае. Не говоря уже о том, что это еще и не HP на самом деле. Ха. Просто после того как Apple купил разработчиков CUPS, жалобы на плохую поддержку принтеров принято отправлять туда. Ну а какой клиент Apple признается, что у него HP1022? ;-} -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Печать в KDE и не только
Alexey Pechnikov - debian-russian@lists.debian.org @ Tue, 16 Dec 2008
19:23:22 +0300:
А вообще да, сначала надо собрать из того, что приехало,
PostScript, а потом его растеризовать под принтер. Для толстого
изображения это долго.
AP Вы это серьезно? Почему-то под вин98 на компах уровня 2-го пентиума
AP вывод сотни фоток на печать проблем не вызывал (в то время я как
AP раз в вузе учился, доводилось лекции печатать).
А в win98 оно сроду не ходило через PS.
AP А теперь на машине с гигом памяти и на порядок более мощным процом
AP convert *jpg print.pdf сжирает всю ОЗУ и весь своп (2 гига). Эдак
AP еще через пять лет в линуксе и текстовый документ напечатать будет
AP невозможно, благодаря cups и прочим монстрам.
В винде, в общем, оно похоже. Хотя там процесс печати более прямой. И,
соответственно, возможностей на него повлиять гораздо меньше. Попробуй
распечатать текст или PDF буклетом, если виндовый драйвер данного
принтера не поддерживает такую опцию... Перекладывать бумагу вручную,
если принтер не умеет двустороннюю печать, разрешается :-)
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru
А Элберет оксюморон! (c)JB
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: radeon9600 + compiz
On Wed, Dec 17, 2008 at 05:16:17PM +0300, Timothy Silent wrote: Доброго времени суток, all Пытаюсь настроить приятелю сабжевую связку. В свежепоставленной ubun'те опрометчиво согласился на предложение Оффтопик, однако -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: gtk-config gtk-devel
Andrey S. Rybak wrote: Здравствуйте. не могу установить сценарий gtk-config. В инете говорят что он находиться в пакете gtk-devel. sudo aptitude search gtk-devel молчит. Может в sources.list еще какой репозитарий прописать? Помогите пожалуйста с установкой gtk-config Утилита apt-file тебе поможет. Как пользоваться - man apt-file и APT How-To. -- Eugene V. Lyubimkin aka JackYF, JID: jackyf.devel(maildog)gmail.com Ukrainian C++ developer, Debian Maintainer, APT contributor signature.asc Description: OpenPGP digital signature
Re: sudo ws root
On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote: Вы можете назвать случаи, чтобы взламывали именно openssh-server и не методом подбора/кражи пароля? Помнится, какие-то секьюрити апдейты у openssh были. Не считая последнего, связанного с отрыванием случайности от openssl. Я вот не знаю о таких. Так что это скорее шизофрения, и лечиться надо, а не гордиться. Я б не стал так категорично утверждать, что их там быть НЕ МОЖЕТ. Особенно в сочетании со всем используемым openssh кодом - openssl, libc, tcpwrappers etc. К сожалению, чтобы ДОКАЗАТЬ отсутствие эксплойтов у софта такой сложности (особенно собранного со всякими -fomit-frame-pointer) дороговато выйдет. P.S. Сертификат против пароля - это стратегия что имею против что знаю. И само по себе использование сертификата надежности не прибавляет и не убавляет. Надежности добавляет двухфакторная аутентификация. что имею+что знаю. Даже если что знаю это просто пассфраза к секретному ключу в pkcs8-формате. Об удачных попытках брутфорса PKCS#5 я тоже НЕ СЛЫШАЛ. Правда, тут требуется еще и аккуратная работа с ssh-agent, особенно на мобильных устройствах. Чтобы при отсутствии юзера за клавиатурой ключики из памяти вычищались. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: gtk-config gtk-devel
On 2008.12.17 at 21:50:13 +0200, Andrey S. Rybak wrote: Здравствуйте. не могу установить сценарий gtk-config. В инете говорят что он находиться в пакете gtk-devel. gtk-devel - это название пакета из RedHat или других rpm-based дистрибутивов. В Debian пакеты разработчика имеют суффикс -dev, а не -devel и обычно называются libчто-то-там-dev. В данном случае libgtk1.2-dev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
Twas brillig at 13:43:48 17.12.2008 UTC+02 when v...@gmx.net did gyre and gimble: AC http://groups.google.com/group/fido7.ru.emacs/browse_thread/thread/a7d60fc26ea16fa1# mail-citation-hook is a variable defined in `sendmail.el'. Its value is (lambda nil (snp:citation) (goto-char (point-min)) (search-forward \n\n) (snp:citation-line)) GNU Emacs 23.0.60.1 (i486-pc-linux-gnu, GTK+ Version 2.12.11) of 2008-12-14 on elegiac, modified by Debian Таки-работает. Конфиг можно на dottedmag.net/dotfiles/emacs посмотреть. -- -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 12:56 +0300, Denis B. Afonin пишет: PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) Подробнее можно? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Печать в KDE и не только
Иван Лох - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 15:11:25 +0300:
Производитель железа драйвера писать, как правило, не умеет.
Драйвера писать умеет производитель ОС (в данном случае -
производитель линукспринтинга). Это вообще общее место,
безотносительно того, откуда растут ноги у HPшного драйвера в данном
случае. Не говоря уже о том, что это еще и не HP на самом деле.
ИЛ Ха. Просто после того как Apple купил разработчиков CUPS, жалобы на
ИЛ плохую поддержку принтеров принято отправлять туда. Ну а какой
ИЛ клиент Apple признается, что у него HP1022? ;-}
Если я пишу кому-то жалобу, значит, я уже готов рассмотреть себя как не
его клиента. Дальнейшее зависит от того, как оно мне на жалобу
отреагирует...
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru
Рюкзак не пересобирают, рюкзак укладывают! (c)Руна
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: radeon9600 + compiz
все всегда делал по следующему howto http://wiki.cchtml.com/index.php/Debian_Installation_Guide и никогда проблем с белыми экранами не возникало. fglrx драйвер брал из репозитория. 17 декабря 2008 г. 21:36 пользователь Abdourazak Osmanov mao.tm.da...@gmail.com написал: 17 декабря 2008 г. 19:39 пользователь Иван Лох l...@1917.com написал: On Wed, Dec 17, 2008 at 05:16:17PM +0300, Timothy Silent wrote: Доброго времени суток, all Пытаюсь настроить приятелю сабжевую связку. В свежепоставленной ubun'те опрометчиво согласился на предложение Оффтопик, однако Однако, та же проблема в Debian, тот же белый экран. Мне как-то наплевать на компиз, но все же интересует, возможно ли настроить сабж. -- С уважением, Анатолий Лебедев Mobile: 8-921-300-89-56 XMPP: beas...@gmail.com ICQ: 328276186 Skype: anatoliy_lebedev LJ: lebedev_a
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
Пожалуйста, если не затруднит, дай адрес бекпорта с emacs22. С ним все пакеты для etch будут работать? AC Это не backports, но хороший способ точечно обновлять все что угодно AC без прясок с бубном и без обновления критичных компонент системы. Там AC есть гораздо больше, чем в любых бэкпортах. AC www.pkgsrc.org AC Прямо сейчас пишу из emacs/gnus, собранного оттуда. А я - из тупо пересобранного под etch пакета из lenny... Зачем платить больше? Лучше день потерять, зато потом за 5 минут долететь(С) ;-) Ручные действия, необходимые для пересборки пакетов и lenny-а, перечислять не будем. P.S. А уж насколько проще pkgsrc для тестирования вашего пропатченного openssl-я и софта, собранного с ним, на разных платформах... ;-) Не, оно натурально стоит потраченного на него времени. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
А я - из тупо пересобранного под etch пакета из lenny... Зачем платить больше? AC Лучше день потерять, зато потом за 5 минут долететь(С) ;-) AC Ручные действия, необходимые для пересборки пакетов и lenny-а, AC перечислять не будем. Действительно не будем. А то как-то нехорошо может получиться. Не стесняйся ;-) Подумаешь, в луже посижу. Там одно слово, Леш. И оно встраивается в систему. Т.е., в частности, предоставляет себя другим пакетам, и если те написаны правильно, их пересобирать уже не надо. Вот что написано в документации по pbuilder-у: The package from the unstable distribution may depend on packages or versions of packages which are only available in unstable. Thus, it may not be possible to satisfy Build-Depends: on stable (without additional backporting work). Объясни мне, каким таким образом dependency зарезолвится автоматически, то есть исчезнет там, где она не нужна и останется там, где нужна. И нет, я не пользовал pbuilder. К тому времени, когда он появился на горизонте, мне он был уже не нужен. AC А уж насколько проще pkgsrc для тестирования вашего пропатченного AC openssl-я и софта, собранного с ним, на разных платформах... ;-) AC Не, оно натурально стоит потраченного на него времени. Вот это - может быть. Если подумать. Потому что там как раз бинарной совместимости нету, надо пересобирать. Расшифруй. Между чем и чем нет бинарной совместимости? Есть изменение API, есть изменение ABI, а есть выставление жестких зависимостей, когда оно нахрен не сдалось, то есть только для того, чтобы результат после всяких там ручных пересборок приводил всегда к одной и той же системе. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
EMZ Я не знаю, есть ли эти проблемы в Emacs 22. В emacs 21 мне EMZ проблему решить не удалось пока. В 22 нету, и я уже везде сбэкпортился. Пожалуйста, если не затруднит, дай адрес бекпорта с emacs22. С ним все пакеты для etch будут работать? Это не backports, но хороший способ точечно обновлять все что угодно без прясок с бубном и без обновления критичных компонент системы. Там есть гораздо больше, чем в любых бэкпортах. www.pkgsrc.org Прямо сейчас пишу из emacs/gnus, собранного оттуда. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
AC И не надо этого эээ ;-) Список эээ недостатков по сравнению с AC мне известен. Прощайте. С людьми, считающими собеседников идиотами, общаться не имею ни малейшего желания. Папа, что это было?(С) -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
Aleksey Cheusov - Debian-Russian2 @ Wed, 17 Dec 2008 13:42:06 +0200:
EMZ Я не знаю, есть ли эти проблемы в Emacs 22. В emacs 21 мне
EMZ проблему решить не удалось пока.
В 22 нету, и я уже везде сбэкпортился.
Пожалуйста, если не затруднит, дай адрес бекпорта с emacs22.
С ним все пакеты для etch будут работать?
AC Это не backports, но хороший способ точечно обновлять все что угодно
AC без прясок с бубном и без обновления критичных компонент системы. Там
AC есть гораздо больше, чем в любых бэкпортах.
AC www.pkgsrc.org
AC Прямо сейчас пишу из emacs/gnus, собранного оттуда.
А я - из тупо пересобранного под etch пакета из lenny... Зачем платить
больше?
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru
Если в кране нет воды -
удали с винта винды.
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Plain text to (x)html
On Wed, Dec 17, 2008 at 11:53:04AM +0200, Serhiy Storchaka wrote: Stanislav Maslovski wrote: On Tue, Dec 16, 2008 at 08:33:36PM +0200, Serhiy Storchaka wrote: Нет, даже это не сделано. Опция -8 отвечает за отключение представления не-ascii символов Latin-1 как entities. О входной кодировке ни слова. Не говоря уже о том, что это — худший из вариантов (самый ленивый). Ну это просто замечательно. Сначала человек сам предлагает этот вариант (документированная восьмибитная прозрачность), теперь сам же его критикует! Ну а что же в этом удивительного? Предложенные варианты имеют разную степень качества. И в txt2html ни о какой _прозрачности_ речь не идёт. На этот вопрос ответы были даны. И все разные. Из чего я заключаю, что люди предпочитают пользоваться первым попавшимся подходящим для этого инструментом, а скорее всего — самодельным. Ну и я буду. Никто не оспаривает вашего права изобретать велосипеды. Я лишь ставлю под сомнение полезность этого дела (исключая пользу в смысле выработки эндорфинов в процессе такого самоудовлетворения). Если бы я не ставил это под сомнение, исходный вопрос вообще не возник бы. Вопрос поставлен, ответ получен. Я им воспользовался. К чему ваши наезды — не пойму. Он мне не подходит. Реального обоснования этого момента я так и не увидел. Неработоспособность имеющейся в наличии версии, неудобство умолчаний. Решение, использующее txt2html, будет длиннее решения, не использующего его («велосипеда») и не так гибко. Мне не нужен такой txt2html! Подмена понятий. Потребительский подход, о котором говорю я, это использование готового без какой-либо отдачи. Вы же говорите о том, что программы вырастают из практических нужд их авторов. Кто же с этим поспорит? В этом смысле автор тоже потребитель. Но вы же не станете утверждать, что он лишь потребляет, никак не способствуя развитию проекта? Что вы от меня хотите? Чтобы я вам задаром разрабатывал программы, которые меня совершенно не интересуют? Вот вы спешите делать необоснованные и далеко идущие выводы, позвольте и мне тогда. Я из нашей дискуссии пока могу сделать вывод, что ваш исходный пост, где вы спрашивали, какой инструмент можно было бы применить к вашей задаче, изначально не имел никакого смысла, так как все предложенные варианты были без обсуждения вами отвергнуты. Со мной вы спорите скорее из желание поспорить, чем из желания извлечь что-то конструктивное. Я просто не пойму чего вы ко мне прицепились, за что взъелись? Да, предложенный _вами_ вариант мне не подходит (я попробовал его ещё перед тем, как спрашивать). Зачем воспринимать это как личное оскорбление? Сперва я думал, что вы имеете какое-то отношение к разработке или поддержке txt2html, что хотите узнать о имеющихся ошибках и недочётах, что именно этим объясняется ваша несколько нервная реакция. Но теперь вижу (и по этой, и по нескольким соседним веткам), что ваш хамоватый тон очевидно вызван совершенно другими причинами. Оставим другим подписчикам судить о том, чей тон хамоватый, и кто весто возражений по существу то и дело переходит на личности. Нет, я не спорю, я не безгрешен. Но в данном случае, имхо, я проявил максимум возможного такта, пытаясь убедить вас в очевидной, в общем-то, вещи: наступил на грабли, разберись, если это баг -- отрепорть, если видишь возможность исправления -- исправь. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
OG Наконец с 22 славяне смогут работать с Unicode! Славяне давно работают с Unicode в 23.0.60.1 :) И что славяне думают по этому поводу? http://groups.google.com/group/fido7.ru.emacs/browse_thread/thread/a7d60fc26ea16fa1# -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
17.12.08, 23:47, Dmitry Marin cor...@corvax.ru: Из-за увеличения сложности повышается вероятность как отказа так и Паранойя - это проф. ориентир для администраторов безопасности. Если что-то (кто-то) в теории может сделать что-то плохое, то значит надо исходить из того, что он это сделает и принимать меры в упреждающем порядке. За пределами сетей, это выглядит как вороватый взгляд вокруг, железные решётки в три слоя, бронежилет и свинцовые трусы. А компьютеры (и сети) всё терпят. Допустим. Только не забывайте, что нож еще используется на кухне! :-) А если компьютеры у вас все терпят, то и работайте на компьютере, отключенном от ВСЕХ сетей. Шутка. (задумчиво) Знаете, а ведь у нас на работе такое есть. На производстве стоят два компьютера (в локальной сети на два компьютера, соеденены кроссом), один из которых жестоко травмирован уродливыми драйверами производственного оборудования. Я их от основной сети изолировал для защиты сети от них (там страшный зоопарк софта, часть из которого ещё времён windows 3.11) - но в общем случае, именно так. Идеальный уровень защиты подразумевает полное отсутствие связи между защищённой вычислительной сетью и сетью, имеющей коннективити с компрометированными машинами (весь мир враги и шпионы). Тезис же о том, что увеличение уровня безопасности уменьшает надёжность системы совершенно правильный. Разумеется, машина без файрвола, пускающая без паролей надёжнее, чем спрятанная за отдельным файрволом железка, проверяющая сертификаты и банящая чуть что. Нельзя сделать безопасно и удобно, можно только найти компромисс между этими состояниями. Если это ехидство, то вы передергиваете. Я писал про увеличение _сложности_. А оно для меня не является таким уж очевидным критерием безопасности. М... получается многозначность слова сложность. Есть сложность, которая парралельная (т.е. увеличение сложности приводит к потенциальному увеличению количества дыр), а есть последовательная, когда каждый последующий слой, конечно, портит жизнь обслуживающему персоналу, но одновременно усложняет жизнь злоумышленникам. Условно говоря, дорваться до компьютера с Жутко Секретной Базой Данных в случае мультивендрного решения с двумя файрволами потребует от злоумышленника: * Сломать железку первого вендора (комплект навыков, знания дыр и мест, где админ может ошибиться). * Сломать ОС компьютера в DMZ (ДРУГОЙ вендор, третий комплект дыр и навыков) * Сломать железку второго вендора (ТРЕТИЙ комплект навыков, знаний и дыр). * Сломать ОС с БД (ЧЕТВЁРТЫЙ комплект навыков, знаний и дыр). При этом, если даже какой-то из них останется насквозь дырявым (например, второй файрвол имеет телнет в DMZ, логин/пароль admin/1234 и не имеет IDS), то это означает просто выключение из схемы одного из этапов - она, фактически, преврашается в схему с 3 активными устройствами. Есть ещё одна сложность - это сложность обслуживания. В переводе на мелкософтовского-буржуйский - TCO. Сколько денег нам потребуется на стаю спецов по каждой из железок. Причём, в месяц (а ещё премии/отпуска/больничные/страховки). Но ведь эта сложность это просто сумма денег. Так что, схема, в которой у нас SSH находится за VPN, при условии, что VPN на той же машине, что и SSH - это увеличение дырявости (мы увеличиваем параллельную сложность). Схема, в которой SSH за VPN за другим хостом с одинаковой ОС - это частичная последовательная сложность. С одной стороны, два хоста ломать, с другой - одни и те же дыры, одни и те же дурные привычки админа и т.д. Так что в схеме с двумя хостами под одной ОС я не вижу смысла - она увеличивает парк железа без осмысленного увеличения безопасности. Хотя, если уже шлюз и так и так есть (обычная офисная сетка с шлюзом и машинами за NAT'ом) - почему бы и нет? Но это не специализированное для безопасности, это просто для удобства. -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблема с copy/paste для emacs (compound-text-with-extensions).
AC А уж насколько проще pkgsrc для тестирования вашего пропатченного AC openssl-я и софта, собранного с ним, на разных платформах... ;-) AC Не, оно натурально стоит потраченного на него времени. Вот это - может быть. Если подумать. Потому что там как раз бинарной совместимости нету, надо пересобирать. Я уже думал. И по поводу pkgsrc, и по поводу epm (который в Debian есть, кстати). И пришел к выводу, что никакой пользы, кроме вреда от этого нет. Потому что тестировать надо не абы что, а то, что будет потом поставляться заказчикам. Коммерческим заказчикам. Объяснить админам этих заказчиков что этот пакет ставится так, как ставятся все пакеты в ВАШЕЙ операционной системе Работоспособность этой идеи зависит от того, насколько хорошо EPM поддерживает пакетные системы, поддержку которых декларирует. Я, например, не смотрел, насколько там все в шоколаде. Alex Ott вроде высказывался положительно (раз уж посоветовал). А еще, тестирование имеет смысл даже на платформах, где нет коммерческих заказчиков ;-) То есть последних = тестировочных платформ. И я склоняюсь к тому, в реальной жизни их строго меньше. А вот объяснить что-де у нас своя система, которая круче крутых яиц потому что её изобрел лично Чеусов - уже сложнее. Мне чужого не надо, я изобрел всего-лишь систему распределенной сборки пакетов и механизм мегапоиска в пакетной базе. Остальное - не мое. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Hello! В сообщении от Wednesday 17 December 2008 23:58:51 Victor Wagner написал(а): On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote: Вы можете назвать случаи, чтобы взламывали именно openssh-server и не методом подбора/кражи пароля? Помнится, какие-то секьюрити апдейты у openssh были. Не считая последнего, связанного с отрыванием случайности от openssl. Так секьюрити апдейты должны быть как раз превентивной мерой. Раз они выходят раньше, чем уязвимость начинают эксплуатировать, это лучший из _практически_ достижимых случаев (не считая идеального случая отсуствия уязвимостей - как багов реализации, так и ошибок алгоритмических). Я вот не знаю о таких. Так что это скорее шизофрения, и лечиться надо, а не гордиться. Я б не стал так категорично утверждать, что их там быть НЕ МОЖЕТ. Особенно в сочетании со всем используемым openssh кодом - openssl, libc, tcpwrappers etc. К сожалению, чтобы ДОКАЗАТЬ отсутствие эксплойтов у софта такой сложности (особенно собранного со всякими -fomit-frame-pointer) дороговато выйдет. Да, но openssh это самое простое из обсуждаемых решений... Надежности добавляет двухфакторная аутентификация. что имею+что знаю. Даже если что знаю это просто пассфраза к секретному ключу в pkcs8-формате. Об удачных попытках брутфорса PKCS#5 я тоже НЕ СЛЫШАЛ. Правда, тут требуется еще и аккуратная работа с ssh-agent, особенно на мобильных устройствах. Чтобы при отсутствии юзера за клавиатурой ключики из памяти вычищались. Вот насчет этого большие сомнения - меня, собственно, как раз это соображение останавливает от использования предлагаемого вами варианта. Да и присутствие юзера не гарантирует безопасности, все-таки лучше пароль не кэшировать. А так получается - сертификат на диске, пароль в памяти компьютера... Лучше уж просто пароль в памяти _пользователя_. Best regards, Alexey. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Нет UUID в etch
Я использую очень много сменных носителей. Монтирую по uuid. Дома в lenny без проблем. На работе etch. Появилась маленькая проблемка. MP3 плеер iriver E100. При подключении в /dev/disk/by-uuid отсутствует uuid. Устройства соотвествующие имеются /dev/sdb /dev/sdc. Как мне сделать, чтобы uuid появился? Как я уже выше написал в lenny такой проблемы не наблюдается. -- Boris Popov
Какой правильный лазерный принтер?
Читая соседнюю ветку о печати, озаботился выбором правильного лазерного принтера для хорошей черно-белой печати. Что посоветуете? -- Boris Popov
Re: sudo ws root
On 2008.12.18 at 01:08:20 +0300, Alexey Pechnikov wrote: Hello! В сообщении от Wednesday 17 December 2008 23:58:51 Victor Wagner написал(а): On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote: Вы можете назвать случаи, чтобы взламывали именно openssh-server и не методом подбора/кражи пароля? Помнится, какие-то секьюрити апдейты у openssh были. Не считая последнего, связанного с отрыванием случайности от openssl. Так секьюрити апдейты должны быть как раз превентивной мерой. Race condititon получается. Что произойдет быстрее - багу обнаружат хорошие парни, исправят, выпустят апдейт, ты об этом узнаешь и установишь, или ее обнаружат плохие парни и проэксплойтят? Шансы на первое велики, но не 100% Раз они выходят раньше, чем уязвимость начинают эксплуатировать, это лучший из _практически_ достижимых случаев (не считая идеального случая отсуствия уязвимостей - как багов реализации, так и ошибок алгоритмических). Вообще говоря, случай практически достижимый. Технологии software proving существует. И, например, французы там, где пару миллионов потратить на это не жалко, их применяют. В системе управления парижским метро, или в ракетах Arian (после того, как оно однажды гробанулось из-за софтверного бага). К сожалению, чтобы ДОКАЗАТЬ отсутствие эксплойтов у софта такой сложности (особенно собранного со всякими -fomit-frame-pointer) дороговато выйдет. Да, но openssh это самое простое из обсуждаемых решений... Именно поэтому я использую его. Надежности добавляет двухфакторная аутентификация. что имею+что знаю. Даже если что знаю это просто пассфраза к секретному ключу в pkcs8-формате. Об удачных попытках брутфорса PKCS#5 я тоже НЕ СЛЫШАЛ. Правда, тут требуется еще и аккуратная работа с ssh-agent, особенно на мобильных устройствах. Чтобы при отсутствии юзера за клавиатурой ключики из памяти вычищались. Вот насчет этого большие сомнения - меня, собственно, как раз это соображение останавливает от использования предлагаемого вами варианта. Да и присутствие юзера не гарантирует безопасности, все-таки лучше пароль не кэшировать. А так получается - сертификат на диске, пароль в памяти компьютера... Лучше уж просто пароль в памяти _пользователя_. Немножко не так. В памяти при работе ssh-agent бывает незашифрованный ключ. Но зато: 1. Это удобно. Это все хосты, на которые я хожу из текущей сессии, что по ssh, что по imap с ssh-tunneling, что по cvs/svn меня узнают сразу и дополнительной аутентификации не требуют. 2. На всех остальных машинах, куда я хожу и должен пойти куда-нибудь дальше, моих аутентификационных credentials НЕТ. Даже кейлоггером (ttysnoop-ом) мой пароль не перехватить - я его там не ввожу. Агент у меня здесь, и оттуда прибегают только запросы к нему. А это - криптография с открытым ключом. Соответственно, можно пытаться эксплойтить мой ключ в течение моей сессии на удаленную машину. Но прикопать его там, чтобы проэксплойтить в мое отсутствие - не получится. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Покотиленко Костик wrote: Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как процесс у меня вызывает отвращение, может есть в виде плагинов или ещё чего нечто, что по данным демонов (ssh, smtpd, etc) может делать подобное (вызывать команды iptables), без нудного анализа логов? Есть такое Package: denyhosts State: not installed Version: 2.6-4 Priority: optional Section: net Maintainer: Marco Bertorello ma...@bertorello.ns0.it Uncompressed Size: 442k Depends: lsb-base (= 3.1-10), python, python-central (= 0.6.7) Conflicts: denyhosts-common, denyhosts-python2.3, denyhosts-python2.4 Replaces: denyhosts-common, denyhosts-python2.3, denyhosts-python2.4 Description: a utility to help sys admins thwart ssh crackers DenyHosts is a program that automatically blocks ssh brute-force attacks by adding entries to /etc/hosts.deny. It will also inform Linux administrators about offending hosts, attacked users and suspicious logins. Syncronization with a central server is possible too. Differently from other software that do same work, denyhosts doesn't need support for packet filtering or any other kind of firewall in your kernel Tags: admin::configuring, admin::logging, implemented-in::python, interface::daemon, protocol::ssh, role::program, scope::utility, security::forensics -- Peter Teslenko Jabber: pe...@jabber.mcicb.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
