Re: Списки рассылки и TheBat: как отвечать в список ?
30.05.11 08:26, Dmitry E. Oboukhov написав(ла): User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.15) Gecko/20110402 Icedove/3.1.9 это опять тонкая провокация на троллинг? последние дни весны, даа... по теме: поставьте Windows7, будет вам щастье Я извиняюсь, я без каких-то левых мыслей просто у товарища оно стоит, а он с вопросами ко мне приходит Ответ номер один Поставь thunderbird он получил, но ему этого мало... и товарищ хороший чтоб просто так от него отмахнуться... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de334bb.50...@rabitsa.org.ua
Re: Списки рассылки и TheBat: как отвечать в список ?
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.15) Gecko/20110402 Icedove/3.1.9 это опять тонкая провокация на троллинг? последние дни весны, даа... по теме: поставьте Windows7, будет вам щастье Я извиняюсь, я без каких-то левых мыслей просто у товарища оно стоит, а он с вопросами ко мне приходит Ответ номер один Поставь thunderbird он получил, но ему этого мало... и товарищ хороший чтоб просто так от него отмахнуться... мне вот интересно: какой смысл читать линуксовые рассылки из под винды? этакая форма мазохизьмы? -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: Списки рассылки и TheBat: как отвечать в список ?
мне вот интересно: какой смысл читать линуксовые рассылки из под винды? этакая форма мазохизьмы? А где в изначальном вопросе было сказано, что они линуксовые? -- Если в кране нет воды - удали с винта винды. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/877h98vh2b.wl%...@ran.pp.ru
Re: Списки рассылки и TheBat: как отвечать в список ?
мне вот интересно: какой смысл читать линуксовые рассылки из под винды? этакая форма мазохизьмы? А где в изначальном вопросе было сказано, что они линуксовые? в списках рассылок для вендузятников по кнопке ответить обычно подставляется адрес рассылки. тебе ли не знать? ты ж тут постоянно отбиваешь атаки а давайте тут сделаем так же! на эту тему :) -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: Списки рассылки и TheBat: как отвечать в список ?
Sun, 29 May 2011 13:25:54 +0300 Ivan vane...@rabitsa.org.ua wrote: Вопрос можно сказать совсем не в тему рассылки но здесь много людей, возможно кто-то подскажет ответ на этот вопрос. В thunderbird/icedove, например, есть кнопка Ответить списку, а в этой программе я такой кнопки не нашел. это вообще возможно или в ручную исправлять адрес получателся ? Я в свое время (лет 10 назад) для этого изменял шаблон ответа в папке, так чтобы при reply-all оставлять только адрес рассылки. Для этого какой-то заморочный макрос делал, но всё работало вполне. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530112601.2fb23ac2@desktopvm.lvknet
Re: Списки рассылки и TheBat: как отвечать в список ?
Mon, 30 May 2011 10:20:48 +0400 Dmitry E. Oboukhov un...@debian.org wrote: User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.15) Gecko/20110402 Icedove/3.1.9 это опять тонкая провокация на троллинг? последние дни весны, даа... по теме: поставьте Windows7, будет вам щастье Я извиняюсь, я без каких-то левых мыслей просто у товарища оно стоит, а он с вопросами ко мне приходит Ответ номер один Поставь thunderbird он получил, но ему этого мало... и товарищ хороший чтоб просто так от него отмахнуться... мне вот интересно: какой смысл читать линуксовые рассылки из под винды? этакая форма мазохизьмы? Понимаешь ли, Димочка, не все постигли Дзен в должной мере. =) Некоторые используют Линукс для тех задач, где он необходим и Винду для всех остальных. Им это просто доставляет меньше неудобств. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530113201.553a4e5c@desktopvm.lvknet
Re: Списки рассылки и TheBat: как отвечать в список ?
Я извиняюсь, я без каких-то левых мыслей просто у товарища оно стоит, а он с вопросами ко мне приходит Ответ номер один Поставь thunderbird он получил, но ему этого мало... и товарищ хороший чтоб просто так от него отмахнуться... мне вот интересно: какой смысл читать линуксовые рассылки из под винды? этакая форма мазохизьмы? Понимаешь ли, Димочка, не все постигли Дзен в должной мере. =) значит, Сашенька, нужно пытаться его постигнуть. это же очевидно! -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: mount.cifs и хранение пароля
28.05.2011 08:41, Stanislav Maslovski пишет: On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote: Хранение бэкапов организовано на Widows сервере. Шара монтируется скриптом строчкой на подобии: mount.cifs //server/share /mnt/server -o iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL Не нравится, что пароли в открытом текстовом виде. Возможно ли при монтировании получать их из какого-нибудь закрытого зашифрованного источника? Чтобы зашифрованный пароль расшифровать, потребуется другой пароль или ключ, и т.д. Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при авторизации на windows-сервере, насколько я знаю, используется хеш? mount.cifs так не умеет - разработчики samba считают, что credentials=/root/.smbpass - достаточно хорошо ;) Возможно, существуют патчи, реализующие авторизацию по хешу, но я не нашел. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de3495a.80...@gmail.com
Re: почтовый сервер: высокая нагрузка
Mon, 30 May 2011 09:31:23 +0400 Dmitry E. Oboukhov un...@debian.org wrote: не, настраивать я и сам разберусь. мне интересно было бы сравнение как ведут себя скажем exim vis postfix при отправке такого-то почтотрафика, какие ресурсы для этого требуют итп Насколько я себе представляю, по производительности ты скорее всего просто упрёшься в ширину канала. во вот это уже интереснее. вот если поразбирать exim, то тут возможны два варианта: в транспортах (да впрочем на любой стадии) будет фигурировать нечто, требующее отдельного форка/пайпа или не будет. в первом случае имеем классическую форковую модель, имеющую проблему 10К. и в этом случае возможно упереться в ширину канала не удастся (то есть на конкретном железе, конечно) а во втором случае? что использует exim во втором случае? что использует postfix? итп понятно что можно поразглядывать исходники, но интересно может есть какие-то статьи/готовая аналитика на эту тему? Не помню, как у экзима, у постфикса есть параметр - максимальное количество параллельных smtp (не smtpd) процессов. Так что это рулится без проблем, если вдруг уткнешься в память/сеть. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530115714.5cbc2d25@desktopvm.lvknet
Re: mount.cifs и хранение пароля
2011/5/30 Igor Chumak ichumak2...@gmail.com: 28.05.2011 08:41, Stanislav Maslovski пишет: On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote: Хранение бэкапов организовано на Widows сервере. Шара монтируется скриптом строчкой на подобии: mount.cifs //server/share /mnt/server -o iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL Не нравится, что пароли в открытом текстовом виде. Возможно ли при монтировании получать их из какого-нибудь закрытого зашифрованного источника? Чтобы зашифрованный пароль расшифровать, потребуется другой пароль или ключ, и т.д. Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при авторизации на windows-сервере, насколько я знаю, используется хеш? если для авторизации достаточно наличия хэша, то чем же хранение этого хэша будет отличаться от хранения пароля (с точки зрения безопасности)? -- wbr, alexander barakin aka sash-kan.
Re: Списки рассылки и TheBat: как отвечать в список ?
Mon, 30 May 2011 11:34:00 +0400 Dmitry E. Oboukhov un...@debian.org wrote: Я извиняюсь, я без каких-то левых мыслей просто у товарища оно стоит, а он с вопросами ко мне приходит Ответ номер один Поставь thunderbird он получил, но ему этого мало... и товарищ хороший чтоб просто так от него отмахнуться... мне вот интересно: какой смысл читать линуксовые рассылки из под винды? этакая форма мазохизьмы? Понимаешь ли, Димочка, не все постигли Дзен в должной мере. =) значит, Сашенька, нужно пытаться его постигнуть. это же очевидно! Не учи других жить, зачем тебе эта головная боль? Если человеку понадобится постигнуть - помоги, если можешь. Но всех и каждого направлять на Путь... Здоровья не хватит. Тем более, что многим это действительно не нужно. Че-то я увлекся =) -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530120244.53a64e7d@desktopvm.lvknet
Re: почтовый сервер: высокая нагрузка
понятно что можно поразглядывать исходники, но интересно может есть какие-то статьи/готовая аналитика на эту тему? Не помню, как у экзима, у постфикса есть параметр - максимальное количество параллельных smtp (не smtpd) процессов. то есть речь все-таки идет о процессах а не сокетах? эх где бы сравнение найти у кого что -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: Списки рассылки и TheBat: как отвечать в список ?
Че-то я увлекся =) ну дык тема то троллинговая. последние дни весны идут. дальше нельзя будет троллить -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: mount.cifs и хранение пароля
30.05.2011 11:02, alexander barakin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: 28.05.2011 08:41, Stanislav Maslovski пишет: On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote: Хранение бэкапов организовано на Widows сервере. Шара монтируется скриптом строчкой на подобии: mount.cifs //server/share /mnt/server -o iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL Не нравится, что пароли в открытом текстовом виде. Возможно ли при монтировании получать их из какого-нибудь закрытого зашифрованного источника? Чтобы зашифрованный пароль расшифровать, потребуется другой пароль или ключ, и т.д. Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при авторизации на windows-сервере, насколько я знаю, используется хеш? если для авторизации достаточно наличия хэша, то чем же хранение этого хэша будет отличаться от хранения пароля (с точки зрения безопасности)? Пароль по хешу восстановить тяжело. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de3522f.7000...@gmail.com
Re: mount.cifs и хранение пароля
2011/5/30 Igor Chumak ichumak2...@gmail.com: 30.05.2011 11:02, alexander barakin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: 28.05.2011 08:41, Stanislav Maslovski пишет: On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote: Хранение бэкапов организовано на Widows сервере. Шара монтируется скриптом строчкой на подобии: mount.cifs //server/share /mnt/server -o iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL Не нравится, что пароли в открытом текстовом виде. Возможно ли при монтировании получать их из какого-нибудь закрытого зашифрованного источника? Чтобы зашифрованный пароль расшифровать, потребуется другой пароль или ключ, и т.д. Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при авторизации на windows-сервере, насколько я знаю, используется хеш? если для авторизации достаточно наличия хэша, то чем же хранение этого хэша будет отличаться от хранения пароля (с точки зрения безопасности)? Пароль по хешу восстановить тяжело. ну так зачем восстанавливать, если и так (допустим) можно авторизоваться? -- wbr, alexander barakin aka sash-kan.
Re: Списки рассылки и TheBat: как отвечать в список ?
30.05.11 10:26, Alexander GQ Gerasiov написав(ла): Sun, 29 May 2011 13:25:54 +0300 Ivan vane...@rabitsa.org.ua wrote: Вопрос можно сказать совсем не в тему рассылки но здесь много людей, возможно кто-то подскажет ответ на этот вопрос. В thunderbird/icedove, например, есть кнопка Ответить списку, а в этой программе я такой кнопки не нашел. это вообще возможно или в ручную исправлять адрес получателся ? Я в свое время (лет 10 назад) для этого изменял шаблон ответа в папке, так чтобы при reply-all оставлять только адрес рассылки. Для этого какой-то заморочный макрос делал, но всё работало вполне. Вот с этого места хотелось бы поподробнее -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de35783.8040...@rabitsa.org.ua
Re: mount.cifs и хранение пароля
30.05.2011 11:22, alexander barakin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: 30.05.2011 11:02, alexander barakin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: 28.05.2011 08:41, Stanislav Maslovski пишет: On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote: Хранение бэкапов организовано на Widows сервере. Шара монтируется скриптом строчкой на подобии: mount.cifs //server/share /mnt/server -o iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL Не нравится, что пароли в открытом текстовом виде. Возможно ли при монтировании получать их из какого-нибудь закрытого зашифрованного источника? Чтобы зашифрованный пароль расшифровать, потребуется другой пароль или ключ, и т.д. Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при авторизации на windows-сервере, насколько я знаю, используется хеш? если для авторизации достаточно наличия хэша, то чем же хранение этого хэша будет отличаться от хранения пароля (с точки зрения безопасности)? Пароль по хешу восстановить тяжело. ну так зачем восстанавливать, если и так (допустим) можно авторизоваться? mount.cifs требует ПАРОЛЬ net use в windows требует ПАРОЛЬ Так что для _стандартных_ способов авторизации знание хеша бесполезно. Со стороны samba-сервера с авторизацией по LDAP, в каталоге хранятся некие sambaLMPassword и sambaNTPassword - подозреваю, что клиенту этого тоже должно быть достаточно. И если верить http://en.wikipedia.org/wiki/NTLM, для авторизации таки достаточно хеша. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de35885.4050...@gmail.com
Re: mount.cifs и хранение пароля
2011/5/30 Igor Chumak ichumak2...@gmail.com: 30.05.2011 11:22, alexander barakin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: 30.05.2011 11:02, alexander barakin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: 28.05.2011 08:41, Stanislav Maslovski пишет: On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote: Хранение бэкапов организовано на Widows сервере. Шара монтируется скриптом строчкой на подобии: mount.cifs //server/share /mnt/server -o iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL Не нравится, что пароли в открытом текстовом виде. Возможно ли при монтировании получать их из какого-нибудь закрытого зашифрованного источника? Чтобы зашифрованный пароль расшифровать, потребуется другой пароль или ключ, и т.д. Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при авторизации на windows-сервере, насколько я знаю, используется хеш? если для авторизации достаточно наличия хэша, то чем же хранение этого хэша будет отличаться от хранения пароля (с точки зрения безопасности)? Пароль по хешу восстановить тяжело. ну так зачем восстанавливать, если и так (допустим) можно авторизоваться? mount.cifs требует ПАРОЛЬ net use в windows требует ПАРОЛЬ Так что для _стандартных_ способов авторизации знание хеша бесполезно. Со стороны samba-сервера с авторизацией по LDAP, в каталоге хранятся некие sambaLMPassword и sambaNTPassword - подозреваю, что клиенту этого тоже должно быть достаточно. И если верить http://en.wikipedia.org/wiki/NTLM, для авторизации таки достаточно хеша. ок. хоть как-то, но авторизоваться с помощью хэша, допустим, можно. перечитываем первое письмо в треде: Возможно ли при монтировании получать их из какого-нибудь закрытого зашифрованного источника? и понимаем, что хранение хэша вместо пароля никаким образом не является ответом на этот вопрос. даже если научить mount.cifs пользоваться хэшем, а не паролем, вся разница будет лишь в содержимом сохраняемой информации. но сама информация (пароль или его хэш) так и будет храниться в открытом виде. -- wbr, alexander barakin aka sash-kan.
Re: Новейшая история развития линукс.
On Sun, May 29, 2011 at 08:43:01PM +, Nicholas wrote: Что вы называете dev? old dev - devfs - udev в чем были минусы devfs, какие недостатки udev видят авторы и что планируют улучшать. devfs когда-то где-то был включен по дефолту? Но это только пример, можно найти и другие новшества, про которые было бы интересно прочесть не How-to, а Why it works this way. Т.е. сейчас вы хотите ещё больше, чем в предыдущих письмах. И это, теперь уже очевидно, вообще не тема для одной обзорной статьи. А конкретные вопросы вида зачем foo и почему foo сосёт обычно как раз освещены с различной степенью подробности и актуальности на различных ресурсах, включая апстримные. Но искать каждый конкретный ответ, конечно, надо отдельно. Есть замечательный документ Debian Reference, но это именно reference, а не история инноваций и объективным описанием достоиств и недостатков. Чтобы написать один большой документ про всё, нужна либо команда людей, отлично разбирающихся в практически всех аспектах Linux-систем последних N лет, либо один человек, совмещающий в себе это. Непонятно, кто это должен организовывать и зачем, поскольку, как я уже говорил, результат сильно зависит от того, за какие годы и какой маргинальности решения предлагается обозревать. обзорных статей много, а с точки зрения разработчиков - не нашел. Каких разработчиков? Ядра и Дебиан. Читайте архивы рассылок разработчиков ядра и Debian. -- WBR, wRAR signature.asc Description: Digital signature
Re: mount.cifs и хранение пароля
On Mon, 30 May 2011 11:42:45 +0300 Igor Chumak ichumak2...@gmail.com wrote: Со стороны samba-сервера с авторизацией по LDAP, в каталоге хранятся некие sambaLMPassword и sambaNTPassword - подозреваю, что клиенту этого тоже должно быть достаточно. И если верить http://en.wikipedia.org/wiki/NTLM, для авторизации таки достаточно хеша. Надо читать чуть внимательнее. По сети передаётся только хеш, на сервере также проверяется только хеш, но для генерации ответа от клиента нужен пароль. -- Alexander Galanin -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530125522.aae48dd9...@galanin.nnov.ru
Re: mount.cifs и хранение пароля
30.05.2011 11:55, Alexander Galanin пишет: On Mon, 30 May 2011 11:42:45 +0300 Igor Chumakichumak2...@gmail.com wrote: Со стороны samba-сервера с авторизацией по LDAP, в каталоге хранятся некие sambaLMPassword и sambaNTPassword - подозреваю, что клиенту этого тоже должно быть достаточно. И если верить http://en.wikipedia.org/wiki/NTLM, для авторизации таки достаточно хеша. Надо читать чуть внимательнее. По сети передаётся только хеш, на сервере также проверяется только хеш, но для генерации ответа от клиента нужен пароль. :( Посыпаю голову пеплом -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de364b1.4000...@gmail.com
Re: Списки рассылки и TheBat: как отвечать в список ?
30 мая 2011 г. 12:04 пользователь Dmitry E. Oboukhov un...@debian.org написал: Че-то я увлекся =) ну дык тема то троллинговая. последние дни весны идут. дальше нельзя будет троллить +1 =)
Re: mount.cifs и хранение пароля
30.05.2011 11:57, alexander barakin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: 30.05.2011 11:22, alexander barakin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: 30.05.2011 11:02, alexander barakin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: 28.05.2011 08:41, Stanislav Maslovski пишет: On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote: Хранение бэкапов организовано на Widows сервере. Шара монтируется скриптом строчкой на подобии: mount.cifs //server/share /mnt/server -o iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL Не нравится, что пароли в открытом текстовом виде. Возможно ли при монтировании получать их из какого-нибудь закрытого зашифрованного источника? Чтобы зашифрованный пароль расшифровать, потребуется другой пароль или ключ, и т.д. Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при авторизации на windows-сервере, насколько я знаю, используется хеш? если для авторизации достаточно наличия хэша, то чем же хранение этого хэша будет отличаться от хранения пароля (с точки зрения безопасности)? Пароль по хешу восстановить тяжело. ну так зачем восстанавливать, если и так (допустим) можно авторизоваться? mount.cifs требует ПАРОЛЬ net use в windows требует ПАРОЛЬ Так что для _стандартных_ способов авторизации знание хеша бесполезно. Со стороны samba-сервера с авторизацией по LDAP, в каталоге хранятся некие sambaLMPassword и sambaNTPassword - подозреваю, что клиенту этого тоже должно быть достаточно. И если верить http://en.wikipedia.org/wiki/NTLM, для авторизации таки достаточно хеша. ок. хоть как-то, но авторизоваться с помощью хэша, допустим, можно. перечитываем первое письмо в треде: Возможно ли при монтировании получать их из какого-нибудь закрытого зашифрованного источника? и понимаем, что хранение хэша вместо пароля никаким образом не является ответом на этот вопрос. даже если научить mount.cifs пользоваться хэшем, а не паролем, вся разница будет лишь в содержимом сохраняемой информации. но сама информация (пароль или его хэш) так и будет храниться в открытом виде. Как уже сообщили, пароль для авторизации клиенту все равно нужен, так что фантазии насчет хеша остаются фантазиями. ;) Тогда можно сделать например так: 1. патчить mount.cifs на предмет того, что пароль в файле указанном в credentials , зашифрован неким ключом 2. сделать тулзовину make_credentials, которая будет шифровать этим самым ключом поле с паролем. Наиболее правильно, ИМХО, было правильно генерировать ключ случайным образом на этапе компиляции samba - тогда ключ окажется идентичным и в mount.cifs и в make_credentials. Удалить исходники после установки - и можно считать, что хранилище паролей достаточно надежно. Естествено, надо позаботиться о том, чтобы ключ дизассемблировать было неудобно ;). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de36a98.1060...@gmail.com
Re: mount.cifs и хранение пароля
30.05.2011 13:27, Konstantin Matyukhin пишет: Если шифровать credentials с ключом, то этот ключ надо где-то хранить, чтобы в момент загрузки его использовать. Т.о. задача сводится к предыдущей. За что боролись? Вот я и предлагаю: ключ генерировать на этапе компиляции samba, хранить непосредственно в исполняемом файле mount.cifs. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de3738c.4040...@gmail.com
Re: mount.cifs и хранение пароля
On Mon, May 30, 2011 at 12:59:52PM +0300, Igor Chumak wrote: Наиболее правильно, ИМХО, было правильно генерировать ключ случайным образом на этапе компиляции samba - тогда ключ окажется идентичным и в mount.cifs и в make_credentials. Удалить исходники после установки - и можно считать, что хранилище паролей достаточно надежно. Естествено, надо позаботиться о том, чтобы ключ дизассемблировать было неудобно ;). Ужасно. -- WBR, wRAR signature.asc Description: Digital signature
Re: Списки рассылки и TheBat: как отвечать в список ?
Mon, 30 May 2011 11:38:27 +0300 vanessa vane...@rabitsa.org.ua wrote: 30.05.11 10:26, Alexander GQ Gerasiov написав(ла): Sun, 29 May 2011 13:25:54 +0300 Ivan vane...@rabitsa.org.ua wrote: Вопрос можно сказать совсем не в тему рассылки но здесь много людей, возможно кто-то подскажет ответ на этот вопрос. В thunderbird/icedove, например, есть кнопка Ответить списку, а в этой программе я такой кнопки не нашел. это вообще возможно или в ручную исправлять адрес получателся ? Я в свое время (лет 10 назад) для этого изменял шаблон ответа в папке, так чтобы при reply-all оставлять только адрес рассылки. Для этого какой-то заморочный макрос делал, но всё работало вполне. Вот с этого места хотелось бы поподробнее Ну так напиши туда, где живут пользующиеся батом люди. Мол есть задача сделать так чтобы... Если уж сам не можешь разобраться в инструменте. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530145554.70b7d069@desktopvm.lvknet
Re: Новейшая история развития линукс.
Mon, 30 May 2011 15:04:41 +0600 Andrey Rahmatullin w...@wrar.name wrote: On Sun, May 29, 2011 at 08:43:01PM +, Nicholas wrote: Что вы называете dev? old dev - devfs - udev в чем были минусы devfs, какие недостатки udev видят авторы и что планируют улучшать. devfs когда-то где-то был включен по дефолту? Но это только пример, можно найти и другие новшества, про которые было бы интересно прочесть не How-to, а Why it works this way. Т.е. сейчас вы хотите ещё больше, чем в предыдущих письмах. И это, теперь уже очевидно, вообще не тема для одной обзорной статьи. А конкретные вопросы вида зачем foo и почему foo сосёт обычно как раз освещены с различной степенью подробности и актуальности на различных ресурсах, включая апстримные. Но искать каждый конкретный ответ, конечно, надо отдельно. Есть замечательный документ Debian Reference, но это именно reference, а не история инноваций и объективным описанием достоиств и недостатков. Чтобы написать один большой документ про всё, нужна либо команда людей, отлично разбирающихся в практически всех аспектах Linux-систем последних N лет, либо один человек, совмещающий в себе это. Непонятно, кто это должен организовывать и зачем, поскольку, как я уже говорил, результат сильно зависит от того, за какие годы и какой маргинальности решения предлагается обозревать. обзорных статей много, а с точки зрения разработчиков - не нашел. Каких разработчиков? Ядра и Дебиан. Читайте архивы рассылок разработчиков ядра и Debian. Еще есть lwn, где бывают довольно толковые обзоры. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530145727.0331ed25@desktopvm.lvknet
Re: mount.cifs и хранение пароля
On Mon, May 30, 2011 at 02:57:33PM +0400, Konstantin Matyukhin wrote: Вот я и предлагаю: ключ генерировать на этапе компиляции samba, хранить непосредственно в исполняемом файле mount.cifs. Т.е. у всех пользователей debian, включая предполагаемого злоумышленника, будут одинаковые ключи? Разве речь про Debian? -- WBR, wRAR signature.asc Description: Digital signature
Re: Новейшая история развития линукс.
On Mon, May 30, 2011 at 02:57:27PM +0400, Alexander GQ Gerasiov wrote: обзорных статей много, а с точки зрения разработчиков - не нашел. Еще есть lwn, где бывают довольно толковые обзоры. -- WBR, wRAR signature.asc Description: Digital signature
Re: mount.cifs и хранение пароля
2011/5/30 Andrey Rahmatullin w...@wrar.name: Разве речь про Debian? Где я?! -- С уважением, Константин Матюхин
Re: mount.cifs и хранение пароля
30.05.2011 13:50, Andrey Rahmatullin пишет: On Mon, May 30, 2011 at 12:59:52PM +0300, Igor Chumak wrote: Наиболее правильно, ИМХО, было правильно генерировать ключ случайным образом на этапе компиляции samba - тогда ключ окажется идентичным и в mount.cifs и в make_credentials. Удалить исходники после установки - и можно считать, что хранилище паролей достаточно надежно. Естествено, надо позаботиться о том, чтобы ключ дизассемблировать было неудобно ;). Ужасно. Угу. Безопасность не должна основываться на секретном алгоритме, я в курсе. Предложите решение покрасивше ;) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de37bd3.6030...@gmail.com
Re: mount.cifs и хранение пароля
On Mon, May 30, 2011 at 03:12:21PM +0400, Konstantin Matyukhin wrote: 2011/5/30 Andrey Rahmatullin w...@wrar.name: Разве речь про Debian? Где я?! По кр.мере в Debian не требуется Удалить исходники после установки. -- WBR, wRAR signature.asc Description: Digital signature
Re: mount.cifs и хранение пароля
2011/5/30 Igor Chumak ichumak2...@gmail.com: Предложите решение покрасивше ;) Не давайте root-доступ абы кому. -- С уважением, Константин Матюхин
Re: mount.cifs и хранение пароля
On Mon, May 30, 2011 at 02:13:23PM +0300, Igor Chumak wrote: Угу. Безопасность не должна основываться на секретном алгоритме, я в курсе. Предложите решение покрасивше ;) Если требуется не хранить ключевой материал в системе и нельзя вводить его интерактивно, я могу предложить лишь аппаратный ключ. -- WBR, wRAR signature.asc Description: Digital signature
Re: mount.cifs и хранение пароля
30.05.2011 13:57, Konstantin Matyukhin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: Вот я и предлагаю: ключ генерировать на этапе компиляции samba, хранить непосредственно в исполняемом файле mount.cifs. Т.е. у всех пользователей debian, включая предполагаемого злоумышленника, будут одинаковые ключи? Зачем ? В опции configure добавить чего-то вроде --with-secret_key. Опция не включена - у всех пользователей debian не будет _никаких_ ключей. Кому надо - соберет для себя с этой опцией. Да, _мне_ это не надо, это я рассуждаю на тему как организовать безопасное хранилище паролей для mount.cifs. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de37d4e.7090...@gmail.com
Re: mount.cifs и хранение пароля
On Mon, May 30, 2011 at 03:19:43PM +0400, Konstantin Matyukhin wrote: По кр.мере в Debian не требуется Удалить исходники после установки. Так они в debian и до установки не требуются. Собиратели, они обычно в других дистрибутивах живут, да вы это и так знаете. Так а я о чём. -- WBR, wRAR signature.asc Description: Digital signature
Re: Списки рассылки и TheBat: как отвечать в список ?
30 мая 2011 г. 14:55 пользователь Alexander GQ Gerasiov g...@cs.msu.suнаписал: Вот с этого места хотелось бы поподробнее Ну так напиши туда, где живут пользующиеся батом люди. Мол есть задача сделать так чтобы... Дык это... тут светло и люди есть Если уж сам не можешь разобраться в инструменте. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530145554.70b7d069@desktopvm.lvknet
Re: mount.cifs и хранение пароля
2011/5/30 Igor Chumak ichumak2...@gmail.com: В опции configure добавить чего-то вроде --with-secret_key. Опция не включена - у всех пользователей debian не будет _никаких_ ключей. Кому надо - соберет для себя с этой опцией. Или напишет патч. -- С уважением, Константин Матюхин
Re: Списки рассылки и TheBat: как отвечать в список ?
2011/5/30 Aleksandr Sytar sytar.a...@gmail.com: Дык это... тут светло и люди есть Искать надо не там, где светло, а там, где потеряли. -- С уважением, Константин Матюхин
Re: Списки рассылки и TheBat: как отвечать в список ?
30 мая 2011 г. 15:24 пользователь Konstantin Matyukhin kmatyuk...@gmail.com написал: 2011/5/30 Aleksandr Sytar sytar.a...@gmail.com: Дык это... тут светло и люди есть Искать надо не там, где светло, а там, где потеряли. Да вы идеалист. Если бы все искали где потеряли, этой рассылки бы и не было. :) -- С уважением, Константин Матюхин
Re: Новейшая история развития линукс.
http://www.linux.org.ru/forum/talks/6318979 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1306755996.2942.4.ca...@debian.beeline.ua
Re: Новейшая история развития линукс.
On Mon, May 30, 2011 at 02:46:34PM +0300, paul wrote: http://www.linux.org.ru/forum/talks/6318979 В основном мимо, увы. -- WBR, wRAR signature.asc Description: Digital signature
Re: mount.cifs и хранение пароля
30.05.2011 14:15, Andrey Rahmatullin пишет: On Mon, May 30, 2011 at 03:12:21PM +0400, Konstantin Matyukhin wrote: 2011/5/30 Andrey Rahmatullinw...@wrar.name: Разве речь про Debian? Где я?! По кр.мере в Debian не требуется Удалить исходники после установки. Собс-но , исходники удалять необязательно В debian/rules добавить # сгенерировать ключ dd if=/dev/urandom bs=1k count=1 |sha512sum secret.key # и удалить после сборки rm -f secret.key В этом нет нарушений Debian Policy? ;) А вариант с аппаратным ключом тоже не идеален. Если ключ отдаст пароль без авторизации - кто мешает утянуть этот самый пароль кому угодно, имеющему доступ к ключу? Если требуется вводить пароль - тогда проще вызывать mount.cifs вручную ;) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de385ae.4060...@gmail.com
Re: mount.cifs и хранение пароля
On Mon, May 30, 2011 at 02:55:26PM +0300, Igor Chumak wrote: Разве речь про Debian? Где я?! По кр.мере в Debian не требуется Удалить исходники после установки. Собс-но , исходники удалять необязательно В debian/rules добавить # сгенерировать ключ dd if=/dev/urandom bs=1k count=1 |sha512sum secret.key # и удалить после сборки rm -f secret.key В этом нет нарушений Debian Policy? ;) Какая разница, вам же всё равно этот пакет никому не придётся показывать. А вариант с аппаратным ключом тоже не идеален. Если ключ отдаст пароль без авторизации - кто мешает утянуть этот самый пароль кому угодно, имеющему доступ к ключу? Если требуется вводить пароль - тогда проще вызывать mount.cifs вручную ;) В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?) -- WBR, wRAR signature.asc Description: Digital signature
Re: mount.cifs и хранение пароля
30.05.2011 15:32, Andrey Rahmatullin пишет: -куть А вариант с аппаратным ключом тоже не идеален. Если ключ отдаст пароль без авторизации - кто мешает утянуть этот самый пароль кому угодно, имеющему доступ к ключу? Если требуется вводить пароль - тогда проще вызывать mount.cifs вручную ;) В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?) Началось все с организации безопасного хранилища паролей для mount.cifs. В котором получение root доступа не означает получение пароля. Причем из хранилища надо получить не подтверждение того, что я знаю пароль (челлендж-респонс протокол это обеспечит) , а именно пароль. В виде текста. Или же хранилище паролей (аппаратный ключ) должно уметь NTLM? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de39c5e.9050...@gmail.com
Re: mount.cifs и хранение пароля
30.05.2011 16:55, Konstantin Matyukhin пишет: 2011/5/30 Igor Chumakichumak2...@gmail.com: Началось все с организации безопасного хранилища паролей для mount.cifs. В котором получение root доступа не означает получение пароля. Т.е. вы ищете способ как вылечить коленку человеку, которому голову отрезало? Нет. Отрезание головы одного человека не должно приводить к отрезанию ног у всех его знакомых из вконтакта ;) Т.е. компроментация узла с cifs клиентом не должна приводить к компроментации узла с cifs сервером. Вот выдал виндовый админ линуксовом админу логин-пароль для доступа. Какие права имеет эта учетная запись? Линуксовый админ этого не знает. А вдруг администратора (вин-админы это любят)? А вдруг через полгода случайно (или не очень случайно) эта учетная запись получит права администратора? Так что проблема с cleartext-паролями вполне реальная. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de3a5ae.7000...@gmail.com
Re: Новейшая история развития линукс.
On 2011.05.30 at 15:04:41 +0600, Andrey Rahmatullin wrote: On Sun, May 29, 2011 at 08:43:01PM +, Nicholas wrote: Что вы называете dev? old dev - devfs - udev в чем были минусы devfs, какие недостатки udev видят авторы и что планируют улучшать. devfs когда-то где-то был включен по дефолту? Были версии Debian, сейчас уже не помню, woody, sarge или potato, где он был включен по дефолту на инсталляционных дисках. Потому что там это действительно удобно. До сих пор он включен по дефолту в т.н. олеговских прошивках для асусовских роутеров. Ну и естественно, Solaris, откуда эта идея вообще была в Linux позаимствована. Т.е. сейчас вы хотите ещё больше, чем в предыдущих письмах. И это, теперь уже очевидно, вообще не тема для одной обзорной статьи. А Это нужна целая книга. Вернее сборник статей, потому что для разных подсистем, наверное лучше получится у разных авторов. конкретные вопросы вида зачем foo и почему foo сосёт обычно как раз Причем про каждый конкретны foo будут непустыми ответы на оба вопроса. Чтобы написать один большой документ про всё, нужна либо команда людей, отлично разбирающихся в практически всех аспектах Linux-систем последних N лет, либо один человек, совмещающий в себе это. Непонятно, кто это должен организовывать и зачем, поскольку, как я уже говорил, результат сильно зависит от того, за какие годы и какой маргинальности решения предлагается обозревать. Обозревать надо начиная с Unix System V. И зачем - тоже понятно. Чтобы подготовиться к написанию проекта системы следующего поколения. В которой не будет ядра из 14 миллионов строк кода. Но будет достаточно функциональности и удобства для решения сравнимого круга задач. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530141909.ga20...@wagner.pp.ru
Re: mount.cifs и хранение пароля
2011/5/30 Igor Chumak ichumak2...@gmail.com: Вот выдал виндовый админ линуксовом админу логин-пароль для доступа. Какие права имеет эта учетная запись? Линуксовый админ этого не знает. А вдруг администратора (вин-админы это любят)? А вдруг через полгода случайно (или не очень случайно) эта учетная запись получит права администратора? Так что проблема с cleartext-паролями вполне реальная. Какая нежная забота о винадминах. -- С уважением, Константин Матюхин
Re: mount.cifs и хранение пароля
On Mon, May 30, 2011 at 04:32:14PM +0300, Igor Chumak wrote: Причем из хранилища надо получить не подтверждение того, что я знаю пароль (челлендж-респонс протокол это обеспечит) , а именно пароль. В виде текста. Или же хранилище паролей (аппаратный ключ) должно уметь NTLM? Зачем весь NTLM? Достаточно Уметь генерить респонс по челленджу согласно требуемому алгоритму. -- WBR, wRAR signature.asc Description: Digital signature
Re: Новейшая история развития линукс.
On Mon, May 30, 2011 at 06:19:09PM +0400, Victor Wagner wrote: Обозревать надо начиная с Unix System V. И зачем - тоже понятно. Чтобы подготовиться к написанию проекта системы следующего поколения. В которой не будет ядра из 14 миллионов строк кода. Но будет достаточно функциональности и удобства для решения сравнимого круга задач. Ядра на 14 миллионов строк кода не будет, если будет один какой-нибудь Apple со своими полуторами компьютерами и двумя ноутбуками. Спасибо, не нужно. -- WBR, Dmitry signature.asc Description: Digital signature
Re: структуры в C/gcc
мы микроконтроллеры программируем. поскольку там на борту всего 0.5-1К RAM то эта RAM экономится жестко. соответственно всякие поля зачастую упаковываются в байты: struct something { uint8_t type; union { struct { unsigned flag1:1; unsigned field1:5; unsigned field2:2; }; struct { unsigned bla:2; int ble:3; int bee:3; }; }; } Офигеть. Анонимное объединение анонимных структур. Так не покатит? struct this_frigging_t whatthefsck = {FIRST_TYPE, { {.flag1 = 0, .flag2 = 31, .flag3 = 2}}}
Re: структуры в C/gcc
28 мая 2011 г. 20:34 пользователь yuri.nefe...@gmail.com написал: On Sat, 28 May 2011, Dmitry E. Oboukhov wrote: мы микроконтроллеры программируем. поскольку там на борту всего 0.5-1К RAM то эта RAM экономится жестко. соответственно всякие поля зачастую упаковываются в байты: struct something { uint8_t type; union { struct { unsigned flag1:1; unsigned field1:5; unsigned field2:2; }; struct { unsigned bla:2; int ble:3; int bee:3; }; }; } в зависимости от типа type либо одна часть либо другая часть union актуальна. ну и можно сюда добавить uint8_t data и проинициализировать union скажем числом 0x23, но это будет довольно * нечитабельно * болезненно переживать смену порядка/набора полей в union -- Немного не в тему. Так, информация для размышления. Недавно для себя выяснил, что битовые поля могут подложить каку: 1) Медленно работают. Переход на маски дал увеличение скорости в два раза. 2) С некоторыми типами памяти gcc может дать неправильно работающий код: http://www.coranac.com/documents/working-with-bits-and-bitfields/ (сам не проверял). Ну и да, процессор- компайлер- зависимо. Но тут видимо вообще никак. Ю.
Re: mount.cifs и хранение пароля
2011/5/30 Andrey Rahmatullin w...@wrar.name: On Mon, May 30, 2011 at 02:55:26PM +0300, Igor Chumak wrote: Разве речь про Debian? Где я?! По кр.мере в Debian не требуется Удалить исходники после установки. Собс-но , исходники удалять необязательно В debian/rules добавить # сгенерировать ключ dd if=/dev/urandom bs=1k count=1 |sha512sum secret.key # и удалить после сборки rm -f secret.key В этом нет нарушений Debian Policy? ;) Какая разница, вам же всё равно этот пакет никому не придётся показывать. А вариант с аппаратным ключом тоже не идеален. Если ключ отдаст пароль без авторизации - кто мешает утянуть этот самый пароль кому угодно, имеющему доступ к ключу? Если требуется вводить пароль - тогда проще вызывать mount.cifs вручную ;) В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?) а что может помешать воспользоваться этим аппаратным ключом злоумышленнику? -- wbr, alexander barakin aka sash-kan.
Re: Новейшая история развития линукс.
On 30.05.2011 18:19, Victor Wagner wrote: Обозревать надо начиная с Unix System V. И зачем - тоже понятно. Чтобы подготовиться к написанию проекта системы следующего поколения. В которой не будет ядра из 14 миллионов строк кода. Но будет достаточно функциональности и удобства для решения сравнимого круга задач. Не забываем, что отсюда на вскидку 10 млн строк это драйвера. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de3c744.4040...@yandex.ru
Re: Списки рассылки и TheBat: как отвечать в список ?
2011/5/30 Aleksandr Sytar sytar.a...@gmail.com: 30 мая 2011 г. 15:24 пользователь Konstantin Matyukhin kmatyuk...@gmail.com написал: 2011/5/30 Aleksandr Sytar sytar.a...@gmail.com: Дык это... тут светло и люди есть Искать надо не там, где светло, а там, где потеряли. Да вы идеалист. Если бы все искали где потеряли, этой рассылки бы и не было. :) идеалисты — это, скорее, те, что в канале об анимэ спрашивают, как пропатчить kde2 под freebsd. -- wbr, alexander barakin aka sash-kan.
Re: Новейшая история развития линукс.
On Mon, May 30, 2011 at 06:59:10PM +0300, Dmitry Nezhevenko wrote: On Mon, May 30, 2011 at 06:19:09PM +0400, Victor Wagner wrote: Обозревать надо начиная с Unix System V. И зачем - тоже понятно. Чтобы подготовиться к написанию проекта системы следующего поколения. В которой не будет ядра из 14 миллионов строк кода. Но будет достаточно функциональности и удобства для решения сравнимого круга задач. Ядра на 14 миллионов строк кода не будет, если будет один какой-нибудь Apple со своими полуторами компьютерами и двумя ноутбуками. Спасибо, не нужно. Я думаю, что имеются ввиду драйвера в userspace. Собственно плата за это на i*86 хорошо известна. -15-30% производительности, как кто не корячился. Некоторые считают, что это вполне разумная плата за безопасность, удобство написания драйверов и т. д. А некоторые считают, что это безумие тратить миллионы и тераватты на такую ерунду. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530165544.ge29...@nano.ioffe.rssi.ru
Re: mount.cifs и хранение пароля
В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?) а что может помешать воспользоваться этим аппаратным ключом злоумышленнику? Воспользоваться, пока он вставлен - ничего. Не получится прикопать credentials для последующего использования в более удобный момент. -- Все учтено могучим ураганом... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/874o4cumlt.wl%...@ran.pp.ru
Re: mount.cifs и хранение пароля
2011/5/30 Artem Chuprina r...@ran.pp.ru: В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?) а что может помешать воспользоваться этим аппаратным ключом злоумышленнику? Воспользоваться, пока он вставлен - ничего. Не получится прикопать credentials для последующего использования в более удобный момент. разве это как-то принципиально отличается, например, от ношения файлика credentials на флэшке? -- wbr, alexander barakin aka sash-kan.
Re: Новейшая история развития линукс.
On Mon, May 30, 2011 at 08:55:45PM +0400, Иван Лох wrote: Ядра на 14 миллионов строк кода не будет, если будет один какой-нибудь Apple со своими полуторами компьютерами и двумя ноутбуками. Спасибо, не нужно. Я думаю, что имеются ввиду драйвера в userspace. Собственно плата за это на i*86 хорошо известна. -15-30% производительности, как кто не корячился. Некоторые считают, что это вполне разумная плата за безопасность, удобство написания драйверов и т. д. Дык есть уже один Hurd. Только оно кроме RMS никому нафиг не нужно. Чем это будет принципиально от него отличаться? -- WBR, Dmitry signature.asc Description: Digital signature
Re: mount.cifs и хранение пароля
On Mon, 30 May 2011 21:34:51 +0400 alexander barakin alex.bara...@gmail.com wrote: а что может помешать воспользоваться этим аппаратным ключом злоумышленнику? Воспользоваться, пока он вставлен - ничего. Не получится прикопать credentials для последующего использования в более удобный момент. разве это как-то принципиально отличается, например, от ношения файлика credentials на флэшке? Содержимое credentials не будет болтаться в памяти компьютера. -- Alexander Galanin -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530215518.7548d9b5...@galanin.nnov.ru
Re: mount.cifs и хранение пароля
2011/5/30 Alexander Galanin a...@galanin.nnov.ru: On Mon, 30 May 2011 21:34:51 +0400 alexander barakin alex.bara...@gmail.com wrote: а что может помешать воспользоваться этим аппаратным ключом злоумышленнику? Воспользоваться, пока он вставлен - ничего. Не получится прикопать credentials для последующего использования в более удобный момент. разве это как-то принципиально отличается, например, от ношения файлика credentials на флэшке? Содержимое credentials не будет болтаться в памяти компьютера. а долго это содержимое может проболтаться в памяти после закрытия файла? есть истории успеха по обнаружению таких «хвостов»? -- wbr, alexander barakin aka sash-kan.
Re: Виртуализация. Что брать?
30.05.2011 08:05, Evgeny Yugov пишет: 30 мая 2011 г. 5:31 пользователь Mikhail A Antonov написал: 28.05.2011 12:36, Peter Teslenko пишет: А почему все стороной обходят xen? На моей памяти он частенько вываливался в oops в domU на linux и в BSOD на windows. А за гостевые драйвера в win вообще бить надо. Это же в какие такие гороховые времена то было? В марте 2010 поставлено было на lenny. И до марта 2011 ловил раз-два в месяц. Перестал ловить т.к. ушёл на kvm и squeeze. С kvm я не видел ни oops-ов на linux, ни BSOD на windows. Его тогда и не было, по большому счету, а то что было - неюзабельно. В июле-августе 2010 начал плотно ковыряться с kvm на серверах. До этого немного пользовался на ноуте для тестов. Ни разу ничего подобного ещё не поймал. Да и xen этот не входит в основное ядро, а kvm - входит. Хм кто-то же поверит во все это... У тебя другая информация? -- Best regards, Mikhail. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4de3e3ae.4030...@solarnet.ru
Re: mount.cifs и хранение пароля
26 мая 2011 г. 0:49 пользователь Evgeniy Vidyakov vidyakov@solvex.travel написал: В настоящий момент рассматриваю варианты без установки дополнительных сервисов и служб на win сервере. Не доводилось пользоваться этой шарманкой... пошукал по инету... А если ввести дебиан машину в АД и воспользоваться libpam-mount для монтирования ресурса?
Re: mount.cifs и хранение пароля
On Mon, 30 May 2011 22:09:45 +0400 alexander barakin alex.bara...@gmail.com wrote: 2011/5/30 Alexander Galanin a...@galanin.nnov.ru: On Mon, 30 May 2011 21:34:51 +0400 alexander barakin alex.bara...@gmail.com wrote: а что может помешать воспользоваться этим аппаратным ключом злоумышленнику? Воспользоваться, пока он вставлен - ничего. Не получится прикопать credentials для последующего использования в более удобный момент. разве это как-то принципиально отличается, например, от ношения файлика credentials на флэшке? Содержимое credentials не будет болтаться в памяти компьютера. а долго это содержимое может проболтаться в памяти после закрытия файла? есть истории успеха по обнаружению таких «хвостов»? При использовании «железки», пароль вообще ни на секунду в память не попадёт, в том и разница. Замечание, конечно, занудно-параноидальное, но вполне в духе всего обсуждения, как мне кажется :) -- Alexander Galanin -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530233212.65584469...@galanin.nnov.ru
Re: mount.cifs и хранение пароля
On Mon, May 30, 2011 at 04:32:14PM +0300, Igor Chumak wrote: 30.05.2011 15:32, Andrey Rahmatullin пишет: -куть А вариант с аппаратным ключом тоже не идеален. Если ключ отдаст пароль без авторизации - кто мешает утянуть этот самый пароль кому угодно, имеющему доступ к ключу? Если требуется вводить пароль - тогда проще вызывать mount.cifs вручную ;) В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?) Началось все с организации безопасного хранилища паролей для mount.cifs. В котором получение root доступа не означает получение пароля. ^ Как легко сообразить, это в принципе невозможно сделать, если пароль дешифруется тем же железом, к которому у злоумышленника есть рутовый доступ. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530200627.GA6068@kaiba.homelan
Re: mount.cifs и хранение пароля
On Mon, May 30, 2011 at 02:13:23PM +0300, Igor Chumak wrote: 30.05.2011 13:50, Andrey Rahmatullin пишет: On Mon, May 30, 2011 at 12:59:52PM +0300, Igor Chumak wrote: Наиболее правильно, ИМХО, было правильно генерировать ключ случайным образом на этапе компиляции samba - тогда ключ окажется идентичным и в mount.cifs и в make_credentials. Удалить исходники после установки - и можно считать, что хранилище паролей достаточно надежно. Естествено, надо позаботиться о том, чтобы ключ дизассемблировать было неудобно ;). Ужасно. Угу. Безопасность не должна основываться на секретном алгоритме, я в курсе. Предложите решение покрасивше ;) Правильное решение с точки зрения безопасности в данной задаче - это вместо предоставления доступа линукс-машине к ресурсам виндовс-сервера, предоставить доступ виндовс-серверу к ресурсам линукс-машины. Например, подложить виндовому шедулеру скрипт, который по (s)ftp в определенное время будет забирать готовый файл бэкапа с линукс-машины. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530202348.GB6068@kaiba.homelan
Re: Новейшая история развития линукс.
On Mon, May 30, 2011 at 03:04:41PM +0600, Andrey Rahmatullin wrote: On Sun, May 29, 2011 at 08:43:01PM +, Nicholas wrote: Что вы называете dev? old dev - devfs - udev в чем были минусы devfs, какие недостатки udev видят авторы и что планируют улучшать. devfs когда-то где-то был включен по дефолту? Например, в Gentoo, в начале ее (его?) истории. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530202808.GC6068@kaiba.homelan
Re: mount.cifs и хранение пароля
В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?) а что может помешать воспользоваться этим аппаратным ключом злоумышленнику? Воспользоваться, пока он вставлен - ничего. Не получится прикопать credentials для последующего использования в более удобный момент. разве это как-то принципиально отличается, например, от ношения файлика credentials на флэшке? Да. В случае флешки прикопать ничто не мешает. RTFM: Шнайер, Прикладная криптография -- Молодой, дикорастущий организм... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/8739jvvs7v.wl%...@ran.pp.ru
Re: mount.cifs и хранение пароля
On Tue, May 31, 2011 at 12:23:48AM +0400, Stanislav Maslovski wrote: On Mon, May 30, 2011 at 02:13:23PM +0300, Igor Chumak wrote: 30.05.2011 13:50, Andrey Rahmatullin пишет: On Mon, May 30, 2011 at 12:59:52PM +0300, Igor Chumak wrote: Наиболее правильно, ИМХО, было правильно генерировать ключ случайным образом на этапе компиляции samba - тогда ключ окажется идентичным и в mount.cifs и в make_credentials. Удалить исходники после установки - и можно считать, что хранилище паролей достаточно надежно. Естествено, надо позаботиться о том, чтобы ключ дизассемблировать было неудобно ;). Ужасно. Угу. Безопасность не должна основываться на секретном алгоритме, я в курсе. Предложите решение покрасивше ;) Правильное решение с точки зрения безопасности в данной задаче - это вместо предоставления доступа линукс-машине к ресурсам виндовс-сервера, предоставить доступ виндовс-серверу к ресурсам линукс-машины. Например, подложить виндовому шедулеру скрипт, который по (s)ftp в определенное время будет забирать готовый файл бэкапа с линукс-машины. В добавление: сгодится даже анонимный ftp (или tftp) с ограничением доступа к линукс-машине просто по IP, если бэкапы выкладывать зашифрованными открытым ключём (предполагается, что секретный ключ и доступ к виндовс-серверу есть у лица, ответственного за восстановление из бэкапа). -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530204605.GA8745@kaiba.homelan
Re: Новейшая история развития линукс.
On Mon, May 30, 2011 at 08:36:47PM +0300, Dmitry Nezhevenko wrote: On Mon, May 30, 2011 at 08:55:45PM +0400, Иван Лох wrote: Ядра на 14 миллионов строк кода не будет, если будет один какой-нибудь Apple со своими полуторами компьютерами и двумя ноутбуками. Спасибо, не нужно. Я думаю, что имеются ввиду драйвера в userspace. Собственно плата за это на i*86 хорошо известна. -15-30% производительности, как кто не корячился. Некоторые считают, что это вполне разумная плата за безопасность, удобство написания драйверов и т. д. Дык есть уже один Hurd. Только оно кроме RMS никому нафиг не нужно. Чем это будет принципиально от него отличаться? Это потому, что Linux востребован на серверах, Top 500 и embedded. Именно за это шапка и Ко деньги получают. Где важен каждый процент производительности. Кстати, для меня и IMHO большинства в этой рассылке это тоже эстетически и практически важно. Но именно отсюда следует вечно нестабильное API и прочие прелести монолитного ядра. А для потреблядской индустрии ноутбуков это все не нужно. Медленно? Добавь $100 и купи с процессором на 30% быстрее. Зато бинарные драйвера в userspace можно писать и стабильный API сделать не проблема. Вот и получилось противоречие: Hurd лучше для масс-продакшн, да RMS им плох. Linus более приемлем, да stable API is nonsense. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530212653.gf29...@nano.ioffe.rssi.ru
Re: Новейшая история развития линукс.
On Tue, May 31, 2011 at 01:26:53AM +0400, Иван Лох wrote: Это потому, что Linux востребован на серверах, Top 500 и embedded. Именно за это шапка и Ко деньги получают. Где важен каждый процент производительности. Кстати, для меня и IMHO большинства в этой рассылке это тоже эстетически и практически важно. Но именно отсюда следует вечно нестабильное API и прочие прелести монолитного ядра. Так было и будет всегда. Если за те же деньги на том же Atom-е одна ось позволяет комфортно смотреть кино, а другая делает из этого слайдшоу, то абсолютно пофиг на эти все микроядра, стабильное API и прочие прелести. А для потреблядской индустрии ноутбуков это все не нужно. Медленно? Добавь $100 и купи с процессором на 30% быстрее. Ага.. И получи минус полчаса-час жизни от батарейки. Либо плюс кило веса на плечи. Плюс встроенный звук пылесоса. Именно из-за этого домой в качестве сервака покупался Core i3, вместо заметно более горячего i5. И дело тут вовсе не в $100 (которые тоже лишними не бывают) Зато бинарные драйвера в userspace можно писать и стабильный API сделать не проблема. Вот и получилось противоречие: Hurd лучше для масс-продакшн, да RMS им плох. Linus Hurd это долгострой. А кино/фоточки смотреть, s2ram хочется уже сейчас. -- WBR, Dmitry signature.asc Description: Digital signature
Re: Новейшая история развития линукс.
On Tue, May 31, 2011 at 12:42:14AM +0300, Dmitry Nezhevenko wrote: On Tue, May 31, 2011 at 01:26:53AM +0400, Иван Лох wrote: Это потому, что Linux востребован на серверах, Top 500 и embedded. Именно за это шапка и Ко деньги получают. Где важен каждый процент производительности. Кстати, для меня и IMHO большинства в этой рассылке это тоже эстетически и практически важно. Но именно отсюда следует вечно нестабильное API и прочие прелести монолитного ядра. Так было и будет всегда. Если за те же деньги на том же Atom-е одна ось позволяет комфортно смотреть кино, а другая делает из этого слайдшоу, то абсолютно пофиг на эти все микроядра, стабильное API и прочие прелести. Да, ладно, у нас же графика и так почти вся в userspace. Пока еще. В отличии от. И ничего. Работает. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110530230403.gh29...@nano.ioffe.rssi.ru