AbcLinuxu:/ Zprávičky / Podepisování balíčků v OpenBSD

Štítky: bezpečnost, BSD, GnuPG, OpenBSD

Podepisování balíčků v OpenBSD

Theo de Raadt informuje, že podepisování balíčků bude implementováno také v OpenBSD (we are moving towards signed packages...). K podepisování bude sloužit nástroj signify. Jedním z důvodů odmítnutí GnuPG je to, že se balík GnuPG nevejde na instalační disketu. V signify je implementován systém s veřejným klíčem Ed25519 vyvinutý týmem vedeným Danielem J. Bernsteinem. [Slashdot]

19.1.2014 14:41 | Ladislav Hagara | Zajímavý software

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (2) ? , Tisk

Vložit další komentář

19.1.2014 15:14 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Odpovědět | Sbalit | Link | Blokovat | Admin

Theo je úžasný, i když se tu najde spoustu haterů z CZ NICU, kteří budou mít kecy o prokovosti, mně přidje pomilováníhodné, že Theovi jde o minimalismus a o funkčnost.

19.1.2014 16:39 potato
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Zaměstná mne CZ NIC na čistě základě toho, že nemám rád TdR? V dnešní nejisté době by se to mohlo hodit... Jinak nerozumím, proč do nesouvisející zprávičky cpeš CZ NIC, jako by se tu o něm nepsalo furt dokola. Maniakální CZ NIC hater?

19.1.2014 17:09 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Já nevím na základě čeho tě CZ NIC zaměstnává, napadá mě - na základě neúcty k listině?

19.1.2014 17:19 potato
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Porozumění psanému textu: 0 bodů.

Doporučený materál ke studiu: časování sloves.

19.1.2014 17:39 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

"na čistě základě toho" - *porozumění textu od polodementní opice, která neví jak správně řadit slova ve větě

19.1.2014 18:20 potato
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

No, výborně. Teď ještě vymyslet konstrukci, kterou si obhájíš tu úchylku cpát ke každému nesouvisejícímu tématu CZ NIC, a můžeš jít domů s pocitem dobře vykonané práce...

19.1.2014 18:24 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

a komu to cpeš?

19.1.2014 20:01 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Doporučuju kliknout na link "Blokovat". Jako zázrakem se diskuse pročistila od všech off-topic sraček.

19.1.2014 20:06 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

jo, už jsem si tě zablokoval před pěkně dlouhou dobou, ale zvědavost mi nedá a ty tvoje kydy si stejně vždycky přečtu.

19.1.2014 20:24 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Bohužel, jakýkoli externí/nový návštěvník tady vidí diskusi potapetovanou tím maniakem ze zpovědnice, co se zuby nehty snaží rozpoutat hádky o nesouvisejících tématech...

SPD vůbec není proruská

19.1.2014 19:49 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Jeste tu chybi NSA :) Nebo proc se o tom vlastne uz tak nemluvi? Asi to prestalo lidi bavit.

I can only show you the door. You're the one that has to walk through it.

19.1.2014 19:58 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

a jak si myslíš, že NSA získává data? čEHO JE NA INTERNETU MÁLO A DAL BY SE PŘES TO SLEDOVAT PROVOZ? Hádáš správně, domén a ti zmrdi z CZ NIC jim určitě jdou na ruku, protože jinak není možný, že by se financovalo tolik dementních projektů, jen se přes to perou peníze do kapsy těch správnejch lidí. To už bylo za France Maruliče, že nějaký silný stát neuděloval peníze, ale odměnu ve formě monopolu.

19.1.2014 16:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Odpovědět | Sbalit | Link | Blokovat | Admin

Počkat, to jako ten nejbezpečnější systém na světě nemá podepsané balíčky? WTF?

19.1.2014 20:50 Jinan Dvoulaločný
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Taky valím bulvy.

19.1.2014 21:04 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Já už se nedivím ničemu. Při brouzdání v archivu ML jsem krom flamefestu na téma "nemáme na elektriku" a téhle perly o podepisování balíčku hned o kousek vedle narazil na vlákno, kde si uživatel stěžuje, že mu hackli systém, kde běžel akorát Apache s Dokuwiki a mailman, a to evidentně tak, že dostali roota, a v diskusi mu bylo navrhováno jako řešení, aby žádný webový a poštovní server neprovozoval, další "guru" pak navrhl, ať si vyexportuje statické HTML, protože dynamické weby jsou velmi rizikové. (Tuto "myšlenku pak ještě několikrát "rozvinul").

19.1.2014 21:12 hjkgkjhg
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Samozrejme ze je mu doporuceno aby zadny webovy a postovni server neprovozoval kdyz je debil.

19.1.2014 21:15 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

No, ty bys radši neměl provozovat ani prohlížeč.

19.1.2014 21:18 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

a v diskusi mu bylo navrhováno jako řešení, aby žádný webový a poštovní server neprovozoval

Vytrhl jsi větu z kontextu. Byla to reakce na prohlášení tazatele i am not a technical guy.

19.1.2014 21:33 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Rozumím. Nainstalovat z balíčku Apache a Dokuwiki smí u nejbezpečnějšího systému na světě pouze "technical guy". No, nebudu to dál komentovat. Z celé diskuse plyne jediné - jak tady ostatně někdo zmínil minule - ono to zabezpečení OpenBSD je v dnešní době prostě k velkému hnědému mazlavému, jaksi tam poněkud zaspali dobu. Kdyby tam krom hraček typu chroot a unixových permissions byla implementována aspoň nějaká další úroveň zabezpečení, tak mu tak nanejvýš smazali web a tím to zhaslo. Jenže tam prostě nic takového není.

19.1.2014 22:33 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Rozumím. Nainstalovat z balíčku Apache a Dokuwiki smí u nejbezpečnějšího systému na světě pouze "technical guy". No, nebudu to dál komentovat.

Mohl tam rozbít spoustu věcí - např. spustit PHP fcgi pod rootem a nechat tam častou chybu.

19.1.2014 22:34 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Ať už si myslím o OpenBSD cokoli, pod tvrzení, že instalovat a spravovat veřejně přístupný webový server by měl (bez ohledu na volbu OS) pouze ten, kdo problematice aspoň trochu rozumí, bych se klidně podepsal.

20.1.2014 16:45 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Přesně tak. I nejzabezpečenější fort spolehlivě rozloží "kterativní" politický fortmistr. Ohledně signify jen tolik, že jde o dobrou volbu posílení zabezpečení ze strany tvůrců OpenBSD. Že to na druhé straně vyžaduje bezpečné chování zasvěceného uživatele netuší jen duchem chudší.

Archlinux for your comps, faster running guaranted!

20.1.2014 16:46 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

...kreativní... Ach ty prsty...

Archlinux for your comps, faster running guaranted!

22.1.2014 21:35 kolaloka
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Myslím, že narážíte na absenci nástroje typu veriexec z NetBSD nebo selinuxu, to skutečně v OpenBSD není, nicméně možná byste si měl přečíst knížku Michaela W.Lucase Absolute OpenBSD vydanou 2013 jako IInd edition, v No Starch Press (myslím), kde dost přesně popisuje, proč tomu tak je, a také jaká zabezpečení např. chflags+securelevel apod. tam jsou.

Navíc OpenBSD nikde neuvádí, že ho má používat každý, naopak, jasně se tam píše že to je pro "technical guys", mimochodem, používal jste někdy OpenBSD doopravdy, třeba aspoň jako router? Na mne působíte jako člověk, který se vyjadřuje velmi kompetentním tónem poměrně nekompetentně...

23.1.2014 11:38 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Prosím vás, jakým způsobem ty chflags+securelevel zabrání tomu, aby se někdo dostal k obsahu souborů, k němuž se dostat nemá? Ach jo. Hlavně že to v knížce vědecky zdůvodníme. :-)

20.1.2014 10:09 marbu | skóre: 31 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

+1 (chapal jsem to u Archu, ale u OpenBSD bych cekal jiny pristup)

There is no point in being so cool in a cold world.

20.1.2014 16:47 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Já to u Archu chápu zcela stejně. Říká se tomu odpovědnost za své stopy :)

Archlinux for your comps, faster running guaranted!

19.1.2014 16:52 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Odpovědět | Sbalit | Link | Blokovat | Admin

Disketu? To jako myslí to ikonku "Uložit"?

Hello world ! Segmentation fault (core dumped)

19.1.2014 18:02 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Ne, myslí tu jednotku velikosti.

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

19.1.2014 18:17 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

A kterou? 5.25"? HD, DD?

19.1.2014 19:21 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Normálka disketu, poplatnou dané době, je putna jak je veliká, prostě „na kolik se to vleze disket“ definovalo velikost. ;)

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

19.1.2014 18:21 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Odpovědět | Sbalit | Link | Blokovat | Admin

Jedním z důvodů odmítnutí GnuPG je to, že se balík GnuPG nevejde na instalační disketu.

No, a to výstižně charakterizuje celkový stav vývoje celého OS a to, proč už nemají ani na zaplacení elektřiny. Mrhat časem nad tím, zda se něco vejde na disketu, nad tím skutečně zůstává rozum stát.

19.1.2014 18:23 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Aspoň ten systém není nabotnaný jako Windows, kde půlku systému tvoří přežitky z minulosti. Nebo bohužel většina Linuxových distribucí, kam se poslední dobou cpe kde co :-(

Nejsi cílová skupina, tak se do toho neser. Theo odvádí dobrou práci, kdyby se takhle minimalisticky choval třeba CZ NIC, bylo by to zlaté.

19.1.2014 18:29 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Ano, podle zmíněné diskuse minimalisticky cpou na instalační CD média jakýsi obskurní song. Cílová skupina podobné debility opravdu naštěstí nejsem.

19.1.2014 20:13 hjkgkjhg
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

A to s tim souvisi jak? :-D

20.1.2014 16:48 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Že by objemem dat? :)

Archlinux for your comps, faster running guaranted!

22.1.2014 20:19 asdfadsf
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Jak souvisi disketa a CD? Nebo je to jenom dalsi moznost si kopnout do neceho cemu nerozumis, ale jdes s davem? :-)

19.1.2014 20:18 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

ten song je náhodou fajn, ale to ty nepochopíš.

20.1.2014 00:43 _
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Ty si tele, viď. :)

20.1.2014 04:14 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Náš administrátor shledal tento komentář závadným.

Vulgární

Zobrazit komentář

19.1.2014 21:05 R
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Toto je jeden exterm. Druhy extrem je Ubuntu, kde sa neda stiahnut nic mensie ako 900MB ISO (takze to nevojde na CD). A to ISO je plne kokotin, ktore sa pri instalacii musia vsetky nainstalovat. Pritom Ubuntu vychadza z Debianu, kde je instalacia vyriesena na urovni (rozne velkosti ISO, hdimage, pxe, debootstrap).

19.1.2014 21:16 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Já tam teda vidím ubuntu-13.10-server-amd64.iso dlouhý 672MB. Navíc kdo by v roce 2014 instaloval z optického média? A Ubuntu jde samozřejmě také nainstalovat debootstrapem.

19.1.2014 21:22 Love_Dali | skóre: 24
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Souhlas na CD jsem už nevypaloval ani nevím kdy. Všechno cpu na USB3.0 flashku a nebo když tedy musí bejt, tak na DVDRW, ale to už zcela minimálně. Nevidím důvod, proč bych se dneska měl babrat s CD..

19.1.2014 22:00 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Náhodou, CD mechaniku jsem použil 2 roky zpátky. Potřeboval jsem podložit projektor.

Cross my heart and hope to fly, stick a cupcake in my eye!

20.1.2014 16:52 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

"Navíc kdo by v roce 2014 instaloval z optického média?"

Třeba já. Je to levné, rychlé, pohodlné a odpovídá to jednoúčelovosti. Nějaké protiargumenty?

Archlinux for your comps, faster running guaranted!

20.1.2014 17:35 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

levné

Jen pokud už člověk má v daném stroji optickou mechaniku (což už není moc pravidlo). Nebo pokud má externí.

rychlé

Ze všech možných metod je to imho rychlejší jen než netinstall přes GPRS/pomalou wifi či starý flashdisk.

pohodlné

Co se samotné instalace týče, tak je to podobně pohodlné jako všechny ostatní. Co se transportu, uchovávání a vytváření týče, tak je to imho podstatně méně pohodlnější.

blog.rfox.eu

21.1.2014 01:42 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Asi tak. Vyhrabat flash disk není většinou problém. Najít dneska doma prázdné CD? OK. A rychlejší? IMO to rychleji nahraju na flash, než vypálím na CD.

Cross my heart and hope to fly, stick a cupcake in my eye!

21.1.2014 10:56 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Nejen nahrávání, ale s dnešními flashdisky i instalace imho probíhá rychleji, než z CD/DVD.

blog.rfox.eu

21.1.2014 11:16 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

jenže rvát USB porty do serveru je prasárna každým coulem, externí CD mechaniku jenom cvaknu do USBčka nainstaluju systém a jdu pryč.

21.1.2014 11:21 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Uh… Tak teď ti nerozumím. Rvát USB flash disk do serveru je prasárna, ale připojovat k němu externí USB CD mechaniku je v pohodě?

Cross my heart and hope to fly, stick a cupcake in my eye!

21.1.2014 14:08 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

to je podstata trollingu ;-)

20.1.2014 18:58 ovoce
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Přesně tak - když máš mechaniku a nějaké staré cd-rw, tak proč ne.

19.1.2014 21:52 w4rr10r
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Proč lžeš?

19.1.2014 22:02 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

ano, něco naprosto nepoužitelného, protože na běžném PCčku nerozchodíte ani připojení k internetu, takže vám zůstane tenhleten hypermalý ťochtanec. To je problém slepit Ubuntu 700 MB distro, vždyť by stačilo vyhodit třeba mono... Oh wait, pak by si nikdo mono nestáhly a Shuttlepuff by se mohl jít klouzat.

20.1.2014 08:26 R
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Mono nie je nahodou uz vyhodene?

20.1.2014 08:53 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

I kdyby, tak by tam zůstal nějaký další hnus - co třeba Ubuntu one, taky pryč?

20.1.2014 08:33 belisarivs | skóre: 22 | blog: Psychobláboly
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Nikdy jsem nemel problem rozbehat na libovolnem beznem PC pripojeni k internetu z jakehokoliv live CD.

Sitovky jsou podporovane, dhcp taky, tak jake pak strachy.

IRC is just multiplayer notepad.

20.1.2014 08:52 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

a koukal ses kam kolibáč odkazuje a zkoušel to s tím? Není live CD jako live CD

20.1.2014 09:03 Mti. | skóre: 31 | blog: Mti
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Na "novych" gigabajtich deskach jsou sitovky atheros... ehm. Strkam tam intely do slotu, kdyz neni zbyti. :-(

Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...

20.1.2014 09:19 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

díky kámo, že jsi případ potvrzující moje tvrzení

20.1.2014 10:38 Mti. | skóre: 31 | blog: Mti
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Omluvam se, ze sem nedrzel hubu.

Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...

20.1.2014 11:31 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

co proti mě všichni máte? Jako by všechno související se mnou bylo nepravda a lež, jakobyste mě snad nenáviděli 0.o

20.1.2014 16:55 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

No, ono je s tím jako nějaký problém? Že by suboptimální výsledek práce baličů u různých dister?

Archlinux for your comps, faster running guaranted!

20.1.2014 09:59 marbu | skóre: 31 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Rekl bych, ze skutecny duvod je Theuv postoj k GPL kodu obecne.

There is no point in being so cool in a cold world.

20.1.2014 04:39 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Odpovědět | Sbalit | Link | Blokovat | Admin

Nejhůř zabezpečený operační systém se snaží stát druhým nejhůř zabezpečeným systémem. :-D Vtipné. Ještě kdyby někdo odstranil ten Giant Lock z kernelu — pak by možná OpenBSD nestálo na dnešním hardwaru za houby. Vlastně ne, pořád bude stát za houby, dokud nebude mít alespoň nějakou obdobu RBAC.

20.1.2014 09:49 GeoRW | skóre: 13 | blog: GeoRW | Bratislava
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Odpovědět | Sbalit | Link | Blokovat | Admin

Ze ich to BSD este bavi vyvijat

"This is to be taken with a grain of salt." ACBF - Advanced Comic Book Format

20.1.2014 12:02 Ivan
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

No bavi. Velka cast vyvojaru *BSD to dela pro penize.

20.1.2014 09:58 ES
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Odpovědět | Sbalit | Link | Blokovat | Admin

Tyhle diskuze me vazne bavi, skoro mam chut si nejakou distribuci Linuxu nainstalovat abych vedel o co poslednich cca. 7 let prichazim.

20.1.2014 12:03 Drom | skóre: 24 | Kdyne
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

O nic nepřicházíte, samý koniny do toho cpou, nejlíp multifunkční.

20.1.2014 12:45 egg | skóre: 20 | Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Proč mluvíš o Linuxu, když zprávička je o OpenBSD?

Proč led klouže? --Aldebaran bulletin

21.1.2014 11:18 ES
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Vetsina prispevku je uplne o necem jinem

21.1.2014 20:54 egg | skóre: 20 | Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

A o čem je vlastně ten tvůj?

Proč led klouže? --Aldebaran bulletin

20.1.2014 19:31 zofrey
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

na to nemas :-P

20.1.2014 14:30 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Odpovědět | Sbalit | Link | Blokovat | Admin

To se sem rozsirila z Phoronixu kultura kopani do BSDcek? :-D

Ja osobne si vyvojaru OpenBSD velice vazim, jsem rad ze v opensource svete je jeste nekdo, kdo se neridi pravidlem "fixneme jeden bug, pridame deset featur (coz uvede deset dalsich bugu), a stabilita nas nezajima, to at si resi downstream".

Mimochodem, podepisovani balicku je celem naprd, dokud nejsou deterministicke buildy.

Veni, vidi, copi

20.1.2014 15:53 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Mimochodem, podepisovani balicku je celem naprd, dokud nejsou deterministicke buildy.

Na prd?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

20.1.2014 16:56 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Je to trochu nadsazka, sice uz nemusim verit mirrorum, ale porad musim verit kompum, na kterych se to builduje, coz je podle me dostatecny duvod oznacit situaci "na prd".

Veni, vidi, copi

21.1.2014 11:21 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

V kontextu OpenBSD to zní jako alibismus. Nechránit se proti požkozeným či podvrženým mirrorům mi přijde nevhodné u distribuce, která vůbec zmiňuje bezpečnost na své hlavní stránce.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

20.1.2014 16:46 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

ano, přesně to se sem rozšířilo. A pak je tu taky kopněme si do véčka - paní ze slovenska mě šikanuje a říká mi vécéčko :-(

- cokoliv napíšu, tak napadnou a všichni tvrdí, že jsem pitomec. Mám rád BSD a jejich přístup? Je to úplně špatně a vyrojí se tu tisíc hejtrů...

20.1.2014 16:47 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

"fixneme jeden bug, pridame deset featur (coz uvede deset dalsich bugu), a stabilita nas nezajima, to at si resi downstream".

A to ma byt system, kteremu chybeji featury, ze na novem HW nenabootuje a ktery i po deseti letech ladeni dokaze sestrelit udalost na USB zbernici?

Mimochodem, podepisovani balicku je celem naprd, dokud nejsou deterministicke buildy.

A jako proc? Jsou to rozdilne veci. Fakovani timestampu je podle vas cesta vpred?

A former Red Hat freeloader.

20.1.2014 17:11 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

A to ma byt system, kteremu chybeji featury, ze na novem HW nenabootuje

To je otazka priorit. Nekdo ma radeji odladeny system na starsim HW nez experiment na novem HW.

A jako proc? Jsou to rozdilne veci. Fakovani timestampu je podle vas cesta vpred?

Jinymi slovy "S*rte na bezpecnost!! Hlavne aby byl pokrok!! POKROK!! POKROK!!"

(Ja mam pokrok rad, kdyz se pri nem nezapomina na bezpecnost)

Veni, vidi, copi

20.1.2014 17:25 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Spíš bych řekl, že kolega má naopak (IMHO oprávněné) pochybnosti o tom, že falšování časových známek je opatření zvyšující bezpečnost.

20.1.2014 17:43 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

No ja nevim, nenapada me jakym zpusobem by to mohlo zhorsit bezpecnost. Jestli znate nejaky konkretni zpusob utoku pomoci timestampu, napiste.

Veni, vidi, copi

20.1.2014 18:32 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

To je otazka priorit. Nekdo ma radeji odladeny system na starsim HW nez experiment na novem HW.

Vzdyt to neni neni odladeno ani na starem HW, viz zde, stary HW a stale rozesrany USB stack.

Jinymi slovy "S*rte na bezpecnost!! Hlavne aby byl pokrok!! POKROK!! POKROK!!"
(Ja mam pokrok rad, kdyz se pri nem nezapomina na bezpecnost)

A na to jste prisel jak? Prinos moznosti binarne reprodukovat build tretimi stranami a pripadne to podepsat neni az tak velky, verifikaci binarek muzete provest i kdyz tam mate informaci o tom, kdo kde a kdy build udelal. Ve sve podstate to muze jit oproti zamerum autora kodu, pokud pouziva makra jako __TIME__ ci __DATE__.

A former Red Hat freeloader.

20.1.2014 20:13 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Prinos moznosti binarne reprodukovat build tretimi stranami a pripadne to podepsat neni az tak velky, verifikaci binarek muzete provest i kdyz tam mate informaci o tom, kdo kde a kdy build udelal.

Myslim, ze prinos JE velky. Neznam nikoho kdo by se pokousel binarky z balicku za soucasneho stavu kontrolovat (i kdyz se urcite nejaky blazen najde). S deterministickymi buildy bude kontrola trivialni.

Veni, vidi, copi

20.1.2014 21:46 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Myslim, ze prinos JE velky.

Vetsi nez slon?

Prinos to asi ma, pokud chcete vyloucit riziko mozne kompromitace build procesu, nicmene si nemyslim, ze tohle je ted hlavni slabina.

binarky z balicku za soucasneho stavu kontrolovat

Muzete vyexportovat jednotlive sekce binarky (elf) a pracovat primo s nimi; pri verifikaci produkcni image se to dela velmi casto, protoze build informace, vcetne casu a verze jsou jeji vyzadovanou soucasti.

A former Red Hat freeloader.

20.1.2014 22:17 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Jen pro pořádek: nechcete, doufám, tvrdit, že riziko kompromitace na té části řetězce, před kterou by vás chránila kompletní reprodukovatelnost buildu, je významnější nebo aspoň srovnatelně významné s rizikem kompromitace na té části, před kterou vás chrání podpisy balíčků?

20.1.2014 22:43 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Chci tvrdit jen to, ze to riziko je pro mne nezanedbatelne. :-D

Veni, vidi, copi

21.1.2014 01:26 marbu | skóre: 31 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Souhlasim ze jsou deterministicke buildy jsou v principu pekna vec, protoze zvysuji duveru v binarni balicky (ze byly zkompilovane tak, jak se ocekava). Zajimave je to hlavne, rekl bych, pro distributora, ktery tak muze lepe argumentovat, ze v binarkach neni ukryte prekvapeni od nekoho typu NSA.

Ale nemuzu souhlasit s tim, ze by podepisovani balicku nema bez deterministickych buildu smysl. Prave naopak, pokud je mozne jednoduse vymenit binarni balicek na ceste siti (primi MITM nebo utok na mirror), nema pro utocnika smysl snazit se propasovat backdoor primo pres distributora - protoze MITM bude vzdy jednodusi, levnejsi a horsi na odhaleni.

Mate sice pravdu, ze i takovyto MITM utok lze pomoci deterministickych buildu odhalit, ale aby bylo dosazeno 100% jistoty, musel by si uzivatel kazdy binarni balicek prekompilovat. Coz je preci jenom ponekud drazsi nez kontrola podpisu, nehledne na to, ze to uz by bylo jednodussi prejit na gentoo.

Zaver je ten, ze pokud mate deterministicke buildy bez podepisovani balicku, je to sice hezke, ale pro koncoveho uzivatele ne moc prakticky vyuzitelne.

There is no point in being so cool in a cold world.

21.1.2014 17:48 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Vsak ja souhlasim, nejlepsi je mit det. buildy + podepisovani.

Veni, vidi, copi

21.1.2014 18:20 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Hmm, není to zbytečně moc?

20.1.2014 17:40 rbc
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

A jaka je pointa ? Prolez si bugzilla.kernel.org a hledej reporty na (kernel) panic, (system) freezes, (system) hangs ... Me napriklad usb_modeswitch spolehlive odrovnal Linux do 3.9.x ze reagoval jen na sysrq (pokud jsem ho teda povolil). To je teda argumentace jak Brno.

Ty budes asi taky kokot.

20.1.2014 21:42 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

A jaka je pointa ?

Pointa je v tom, ze relativne spolehliva implementace USB stacku neni jednoducha a muze slouzit jako urcite meritko vyspelosti systemu. Ja nepopiram, ze u Linuxu nemuzete pres USB sestrelit kernel, u pocatecni implementace USB3 se mi take stalo, ale ve srovnani s BSD jsou to nebe a dudy. V BSD tabore si byli sami vedomi mizerne implementace, jedna z prvnich veci co Dillon na DragonFly BSD udelal bylo prave zlepseni stability a trasovani vsech cest, kde to muze slitnout a pozdejsi zlepseni prinesl prepracovany stack USB4BSD. U OpenBSD to podle vseho stale stoji za prd, pred dvema lety mi to sestrelilo i odpojeni USB klavesnice, a Yubi key, zmineny v bugu nahore, se chova jako obycejna klavesnice, takze zadny velky progress.

Ano, usb_modeswitch na nekterem HW dela psi kusy.

Ty budes asi taky kokot.

Jiste.

A former Red Hat freeloader.

21.1.2014 09:28 chsajarsa | skóre: 16 | blog: V_hlouby_destneho_pralesa | Lovosice(Praha)
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Ono pro lidi z OpenBSD neni USB prioritou a rekl bych, ze ani pro jejich cilovou skupinu. Sam jsem nucen se starat o nejake ta OpenBSD a vsechno to jsou firewally na kterych bezi jen ssh.

Jinak do OpenBSD se pravidelne kope i v diskuznich forech jinych BSDcek. Neni to tedy moc intenzivni, ale vsichni si radi rypnou :-)

~ QED ~

21.1.2014 09:52 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Dobre, ale proc ani USB klavesnice? To ti lide od OpenBSD planuji telepaticke ovladani?

A former Red Hat freeloader.

21.1.2014 09:58 chsajarsa | skóre: 16 | blog: V_hlouby_destneho_pralesa | Lovosice(Praha)
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Vsak pisu ssh,ale jinak nejake ILO,iDrac,.... Ja ani nevim kdy naposledy jsem server instaloval s klavesnici pripojenou k serveru. Vlastne me ani nenapada, kdy naposledy jsem mel klavesnici pripojenou k nejakemu serveru at uz s jakymkoliv OS. Vlastne uz je to dost dlouho jsem vubec videl nejaky server fyzicky :-)

~ QED ~

21.1.2014 09:59 chsajarsa | skóre: 16 | blog: V_hlouby_destneho_pralesa | Lovosice(Praha)
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Jeste jsem si uvedomil, ze ted uz i firewally pokud to neni Cisco nebo Checkpoint, tak je to uz z 90% virtualni hw.

~ QED ~

21.1.2014 10:57 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Nema nahodou iDrac pripojenou klavesnici pres (virtualni?) USB? Naschval se na to podivam.

I can only show you the door. You're the one that has to walk through it.

21.1.2014 12:05 R
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Samozrejme, ze ma.

21.1.2014 12:07 R
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

BTW. To USB nie je virtualne, jedna sa o skutocny USB hub na DRAC karte. Virtualna je klavesnica a mys - tie emuluje procesor, ktory je k tomu USB hubu pripojeny.

21.1.2014 13:54 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Tak OpenBSD ma urcite nejaky usecase a pro firewall muze byt dobra volba. Ja na nem ocenuji, ze v KVM mi chodi bezkonkurencne nejlepe ze vsech BSD a take jeho trivialni instalator.

A former Red Hat freeloader.

20.1.2014 17:23 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Vidím tady kopání do jediného BSDčka a to na základě velmi dobrých argumentů.

oVirt | SPICE

21.1.2014 11:25 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

22.1.2014 21:56 kolaloka
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Hm, no mě se nezdá, že by to byly argumenty dobré, mě se zdá, že se tu opakují stereotypní představy o OpenBSD, které pronášejí lidé, kteří se často nezajímají o cíle a filosofii OpenBSD, (a to není to samé co Linux!), a také lidé, kteří nikdy nerozběhali OBSD na žádném opravdovém železe, natož aby na něm rozběhli třeba poštovní server.

Já můžu říci, že funkčně je BSD v některých ohledech citelně stabilnější, uvedu dva příklady:

1. oproti linuxovým instalacím BSD vydřží obrovský nápor na paměť, když růžné webové aplikace posílají php dotazy do databází, a do toho jede kopírování záloh a podobně je možné přiřadit skutečně velikou část paměti a i velmi slabý stroj klape jako hodinky. Když jsem to zkusil na Linuxovém serveru, který mám na starosti, tak se prostě při 250 zbylých MB pro systém po 3 minutách zhroutil, BSD jelo na 70 MB - no problem.

2. bouřka nám poškodila UPS, a než jsme na to přišli, tak nám 3x za sebou UPSko v krátkých intervalech restartlo a vypadla elektrika - takže systémy nedokončily opravu FS - FFS naběhl bez ztráty bajtu, ext4 bohužel skončil katastrofou.

Takže ty teoretizující arogantní trolí tlachy v diskusi výše připisuji mudrcům, kteří skutečný Unix znají maximálně tak z VMWare nebo VirtualBoxu...

22.1.2014 22:09 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Ext4 je imho shit. U XFS nebo podobného fs by se to nestalo.

SPD vůbec není proruská

22.1.2014 22:15 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

+1 mám podobné zkušenosti

22.1.2014 22:32 lkajlkj
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

+milion

22.1.2014 22:55 chsajarsa | skóre: 16 | blog: V_hlouby_destneho_pralesa | Lovosice(Praha)
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

No spise bych rekl, ze BSD se mi lepe chova pod vysokym loadem - at uz pamet,IO nebo CPU. S tim, ze o dost lepsi zkusenosti mam s NetBSD a FreeBSB. OpenBSD davame opravdu jen na FW.

U toho filesystemu mam opacne zkusenosti. Ext{3,4} se mi nikdy pri vypadku nerozbilo a UFS2 uz nekolikrat a to jednou i neopravitelne.

~ QED ~

23.1.2014 11:09 kolaloka
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

a) ano, napsal jste to přesněji, "pod vysokým loadem" souhlasím

b) já mám všude FFS v1, to znamená nežurnálovací UFS s diskem <1TB, zatímco FreeBSD používá žurnálovací UFS, to je trochu rozdíl, a nemám s tím takové zkušenosti, abych to mohl porovnat. Navíc dost záleží zda je disk připojený sync nebo async, zda běží v raidu apod... (ovšem ani při experimentech s OpenBSD mi ffs v1 v raidu 1 nikdy při žádném výpadku neztratilo ani byte)

23.1.2014 00:57 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

mě se zdá, že se tu opakují stereotypní představy o OpenBSD

Tedy absence MAC/RBAC a donedávna i podepisování dodvaného sw jsou stereotypní představy?

oVirt | SPICE

23.1.2014 10:28 kolaloka
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Ale neee, čtěte přece, co píšu, to že chybí věci jako veriexec nebo selinux nebo apparmor, je bez diskuse, to tam opravdu není, to jsem taky ve svém příspěvku napsal. Něco jiného je, proč to tam není. No a ty stereotypní představy jsou, že OpenBSD je pomalý superbezpečný Linux, což pochopitelně není.

23.1.2014 11:49 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

V soucasne dobe OS bez necoho jako SELinux je jako lod bez vodotesnych prepazek, bezpecnost nic moc, bez ohledu na masivnost trupu.

A former Red Hat freeloader.

23.1.2014 16:14 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

nevěřil jsem, že někdo někdy bude obhajovat SELinux, mé nejtemnější noční můry se naplnily :-(

23.1.2014 17:49 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Podepisování balíčků v OpenBSD

Vase nejtemnejsi mury jsou celkem pohodove.

A former Red Hat freeloader.

Založit nové vlákno • Nahoru