Honey patchset - все, что мне нужно на сервере домосетки :)

Замечательно, но я юзаю 2.6.4 А mppe нормально работает? Он помнится mtu ломал, в новой версии pppd work-around был прикручен для этого...

>Замечательно, но я юзаю 2.6.4 А mppe нормально работает?

В 2.6.4? Не в курсе :)

А вот в 2,4,2* кажись работает (у меня).

> Замечательно, но я юзаю 2.6.4 А mppe нормально работает? Он помнится mtu ломал, в новой версии pppd work-around был прикручен для этого...

http://pptpclient.sourceforge.net/

Features

* compatible with the Linux PPTP Server,

* compatible with Microsoft Windows VPN Server,

* compatible with many ADSL service providers,

* compatible with Cisco PIX,

* supports 128-bit stateless encryption using MPPE,

* supports on-demand or persistent tunnels using pppd psuedo-tty support,

* supports synchronous HDLC PPP encoding,

* supports reordering of out of order packets,

* runs on Linux, FreeBSD, NetBSD and OpenBSD.

и чего? :)

угу, дело ж в ядре и pppd, а не клиенте...

вообще, зачем в домосети шифровать данные до сервера?.. я без mppe mppc сделал... да и стандартной функциональности iptables хватает - нефиг клиентов ограничивать, пущай качают что хотят :)

Всетаки краткие пояснения для каждого патча не помешали бы, а то мало
кому понятно зачем они и для чего...

>вообще, зачем в домосети шифровать данные до сервера?.. я без mppe mppc сделал... да и стандартной функциональности iptables хватает - нефиг клиентов ограничивать, пущай качают что хотят :)

У нас в куче сетей шифруется только футентификация, но все равно без MPPE не обойтись.

Патч MPPE/MPPC можно ведь скачать отдельно, http://www.polbox.com/h/hs001/ например, и там лежат патчи для ядер по 2.6.9 включительно, но где-то я видел и посвежее, вроде :)

Ошибочка вышла, и на 2.6.10 там есть

Да в README разных в архиве это есть, при желании посмотреть можно :)

Тут дело в том, что кто не знает, что это, тот и смотреть-то не будет, оно ему не нужно :)

Кто не в курсе, что это:

* Поддержка IMQ для ядра и iptables.

Используется для ограничения входящего трафика и балансировки на нескольких интерфейсах (конкретно: вместо подключения шейпера к нескольким ppp-ифейсам, подключается один к imq0 и на него заворачиваются все пакеты с ppp+. Позитив: если на ppp0 нагрузки нету, при желании, вся полоса отдается на ppp1).

Также включен imq-nat патч. Без него подключать фильтры на основе ИП-адресов бесполезно.

* Поддержка ESFQ для ядра и iproute2

Используется вместо SFQ. SFQ делит канал между сессиями, но у таких качалок как FlashGet совести нету и они тянут в n сессий :) В результате у них в n раз скорость выше, но esfq исправляет такое неравенство.

* Поддержка MPPE/MPPC для ядра и pppd

Шифрование/сжатие трафика для VPN по стандарту Микрософт. Большое и единственное преимущество перед альтернативами - настраивается на клиентах за секунд 20-30 %)

* Patch-o-matic расширения для ядра и iptables (по-умолчанию не все).

Куча полезных расширений, нужных и полезных. По умолчанию - TTL (работа с TTL) connlimit (ограничение кол-ва соединений) mport (вместо кучи правил по разным портам можно использовать одно) time (умеет работать с пакетами отталкиваясь от времени суток) CLASSIFY (отправляет пакеты в класы шейпера сразу, минуя классическую маркировку и tc filter add...) ipp2p (расширения для контроля работы клиентов пиринговых сетей).

Ночная сборка используется вместо релиза потому, что в релизе нету ipp2p (включен с сентября 2004). Я счел ipp2p более перспективным, нежели iptables-p2p.sf.net.

* The Openwall Project патч.

Делает процедуру взлома системы более трудоемкой.

>Патч MPPE/MPPC можно ведь скачать отдельно

Все можно скачать отдельно, но смысл в том, что:

* не нужно искать все это по сети;

* ломаль голову, как наложить древние патчи esfq, например;

* гадать, а что будет с патчем А, если я наложу патч Б.

Openwall patches are not the best patches out there! grsec is to prefer.

Openwall is nothing without Propolice protection in binary files.

//obsd user

>grsec is to prefer.

Не спорю, но я не готов ложить на ядро патчи, о функциональности которых знаю мало.

Необходимости использовать RBAC у меня нет, что делает _весь_ PaX я не знаю, а потому не готов использовать. Хотя когда-то я вероятно заменю OW на grsecurity.

Кстати, я пробовал его наложить на все эти патчи сверху месяца два назад. Со старта не выходит (там у него есть какая-то приблуда к iptables, так вот там, где она объявляется, нужно поправить), но после ма-а-аленького напильника - запросто.

>Openwall is nothing without Propolice protection in binary files.

а что это?

>Сейчас в архиве patch-o-matic-ng-20050121

Откуда взялся patch-o-matic-ng-20050121? Из Suvbversion Snapshots? Предупреждать надо.

решпект!

//fuzk

fogot, это именно то, что надо!:) //crypt

>Все можно скачать отдельно, но смысл в том, что: > > >* не нужно искать все это по сети; > > >* ломаль голову, как наложить древние патчи esfq, например; > > >* гадать, а что будет с патчем А, если я наложу патч Б. > > >fagot (*) (24.01.2005 9:17:43)

Вот-вот, в точку. Очень правильная и нужная вещь.

PING fine.kalinovka.net (212.42.88.99) 56(84) bytes of data.

--- fine.kalinovka.net ping statistics --- 32 packets transmitted, 0 received, 100% packet loss, time 31129ms

Калиновка то лежит. Выложи чтоль куда-нить и ссылочку кинь. По теме: респект.

Просю пардону, на заводе подстанция здохла, как обычно очень вовремя %*?%*? :(.

Уже подняли

>Из Suvbversion Snapshots? Предупреждать надо.

а чего не так?

Before you apply any sec. patches you should do some research!!!

[cerberus]$ strings /usr/bin/passwd |grep stack __stack_smash_handler [cerberus]$

GCC extension for protecting applications from stack-smashing attacks http://www.research.ibm.com/trl/projects/security/ssp/

//Do it right way - do it OpenBSD way

//obsd user

You should also look at systrace.org if not going to apply grsec.

//obsd user

а насколько оно будет медленее работать?

Applying Openwall patch is about to adding security to the system!? Yeah, if so you should not be concerned about speed of your system. You have already slowed it down with all your optimization patches!

//obsd user

Лучше бы выложил конфиги своего шейпера- я никак толкову доку найти не могу по динамической нарезке...или не могу понять то, что нахожу =)

>Лучше бы выложил конфиги своего шейпера

выложу, чуть поздже ;)

Спасибо

> //Do it right way - do it OpenBSD way
бред - эта тема мусолилась на багтрахе с годик или 2 назад - obsd way vs. linux kernel way.
стороны не пришли к единому мнению. У каждой есть свои плюсы и минусы, как говорится "Every dog has its song.".
Если кому интересно - я поищу у себя в архивах обсуждение.

First of all there is a fundamental flaw in "securing" linux distros: Instead of auditing present base code (inc. kernel code) linux community trying to prevent exploitation by puting SE/Openwall/GRSec patches.

I know what bugs will exists in the future, but "linux kernel way" is the wrong way. Putting crapy unaudited code into the kernel will ALWAYS result in exploits like the recent ones! Linux is like Windows,the only diff is that it's opensource.

OpenBSD way: 1. Audit the code(eliminate bugs/eliminate potential bugs) 2. Put it into base tree. 3. Add prevention of exploitation against unknown/unfound bugs into userland(propolice) 4. Add prevention into kernel (stackgap, W^X) 5. Continue to audite present code/new code.

Linux way: 1. Put crapy code into kernel.Let ppl exploit it 2. Patch the hole and put some more crapy code. 3. Put some prevention into kernel/userland instead of auditing the code and hope that sys will be more secure ( illusion ). 4. Put more crapy code and loop to 1.

Conclusion: Linux community have to clue about security as the authors inclusion of Openwall patch.

//obsd user