Не получается запустить ядро OpenBSD на Linux роутере D-link DSR-500

Каким тут боком OpenBSD?

Единственное что нахожу, что это ошибка u-boot при загрузки линукса.

А так см. https://ftp.openbsd.org/pub/OpenBSD/7.4/octeon/INSTALL.octeon

На тему почистить - так он и есть готовый.

На тему вообще прошивки туда обсд, ддврт и прочей хероты - не рекомендую. Там буквально на простейшем нате начинает скорость просаживаться в нулину при скачке торрентов и вообще работы с много pps.

А так см. https://ftp.openbsd.org/pub/OpenBSD/7.4/octeon/INSTALL.octeon

Ессно делал по этой инструкции (как и другие пользователи, у кого появлялась подобная ошибка при загрузке ядра).

Уж думаю, может, не мучиться с перешивкой роутеров и сразу взять спарковый Sunчик?

Интересно, можно ли на D-link DSR-500 обновить uboot ?

Интересно, можно ли на D-link DSR-500 обновить uboot ?

1. Запросить у D-Link исходный код.
2. Понять что и как перенести в новую версию.
3. Пересобрать.
4. Проверить.

Дай думаю посмотрю, появилось ли что по этим железкам. И первое что даёт поиск https://github.com/nu11secur1ty/CVE-mitre/blob/ccb88e1dd41b5fbdcad2c93caa39cb4523a4daef/CVE-2021-39615/README.MD?plain=1#L4

Дай думаю посмотрю, появилось ли что по этим железкам.

Это ведь всего лишь настройки оригинального линукса для этой железки?

Разве плохо, что появился такой CVE?

IMHO чем больше устройств, совместимых с OpenBSD, будут иметь такие софтовые бэкдоры, тем доступнее они будут на Авито, когда старые владельцы начнут избавляться от дырявого хлама.

А установив на такой «хлам» OpenBSD, железка ведь превращается в очень безопасную?

железка ведь превращается в очень безопасную

Нет, чудес не бывает. Первая же уязвимость - это прослойка между железом и стулом.

Первая же уязвимость - это прослойка между железом и стулом.

Так речь при прочих равных условиях.

Нет, чудес не бывает.

Трудно согласиться с тем, что открытая ось с дефолтной настройкой для максимальной безопасности с историей почти полного отсутствия remote дыр в базовой части (кажется, две таки были?) окажется менее безопасной, чем поделка корпов.

Трудно согласиться с тем, что открытая ось с дефолтной настройкой для максимальной безопасности

Видел я эти настройки, по моему это перебор. Одна рандомизации памяти чего только стоит. Проще взять LibreCMC, роутер под него и если уж так невтерпеж безопасность, то провести аудит кода.

Видел я эти настройки, по моему это перебор.

Перебор - это ведь не ухудшение безопасности?

Одна рандомизации памяти чего только стоит.

Разве плохо?

Проще взять LibreCMC, роутер под него

Пытался поставить на Netgear WNDR3800, но после прошивки роутер почти не подаёт признаков жизни, даже пинги какие-то кривые от него приходят. Т.е. почти кирпич, помигивающий лампочками.

С помощью nmrpflash нормально прошивается и потом нормально работает OpenWrt. Только сравни, сколько дыр было найдено в OpenWrt и сколько в OpenBSD. Поэтому свитч с последней прошивкой OpenWrt пока пылится, а будет использован в лучшем случае для локалки уже под защитой OpenBSD.

и если уж так невтерпеж безопасность, то провести аудит кода.

Ну конечно аудит то проще провести (сарказм), чем изучить маны OpenBSD, LOL

Перебор - это ведь не ухудшение безопасности?

У роутера процессор слабенький. Для него такая постоянная загрузка не очень. Грубо говоря он будет работать плохо с этими всеми фичами.

Только сравни, сколько дыр было найдено в OpenWrt и сколько в OpenBSD

Для этого надо провести исследование, провести аудит кода OpenBSD, провести аудит кода OpenWrt. Затем сравнить результаты.

Ну конечно аудит то проще провести

Ну конечно. Аудит ведь проводится человеком, а не на железе роутера. Грубо говоря, никакой дополнительной нагрузки здесь нет для железа и оно будет работать нормально.

Для этого надо провести исследование, провести аудит кода OpenBSD, провести аудит кода OpenWrt. Затем сравнить результаты.

А просто история CVE тебя не устраивает? за последние 20 лет remote дыр почти не было, но с конца 2023 их количество начало резко расти?

А просто история CVE тебя не устраивает?

Нет. Нужно ещё понять насколько они реально применимы. Преположим есть роутер с белым списком приложений, а CVE в приложениях, которым запуск не разрешен. Нужно исследование провести, чтобы все проверить.

Пытался поставить на Netgear WNDR3800

Как перепрошивал? Я просто заметку писал как это делать, в разделе статьи форума. Прошивал так два роутера, все работало. Попробуй сверится с этой заметкой, может какой-то шаг пропустил.

Нет. Нужно ещё понять насколько они реально применимы. Преположим есть роутер с белым списком приложений, а CVE в приложениях, которым запуск не разрешен. Нужно исследование провести, чтобы все проверить.

Так более 20 лет истории для приложений из базовой части OpenBSD, это довольно приличный набор софта.

Много ты дыр найдешь на моём роутере?

atom# pstree
-+= xxxxx root /sbin/init
 |--= xxxxx root /sbin/resolvd
 |-+= xxxxx root syslogd: [priv] (syslogd)
 | \--- xxxxx _syslogd /usr/sbin/syslogd
 |-+= xxxxx root pflogd: [priv] (pflogd)
 | \--- xxxxx _pflogd pflogd: [running] -s 160 -i pflog0 -f /var/log/pflog (pflogd)
 |--= xxxxx _unbound /usr/sbin/unbound -c /var/unbound/etc/unbound.conf
 |--= xxxxx root /usr/sbin/cron
 |-+= xxxxx root sshd: /usr/sbin/sshd [listener] 0 of 10-100 startups (sshd)
 | |-+= xxxxx root sshd: root@ttyp0 (sshd)
 | | \-+= xxxxx root -ksh (ksh)
 | |-+= xxxxx root sshd: root@ttyp1 (sshd)
 | | \--= xxxxx root -ksh (ksh)
 | \-+= xxxxx root sshd: root@ttyp3 (sshd)
 |   \--= xxxxx root -ksh (ksh)
 |--= xxxxx root /usr/libexec/getty std.9600 ttyC0
 |--= xxxxx root /usr/libexec/getty std.9600 ttyC1
 |--= xxxxx root /usr/libexec/getty std.9600 ttyC2
 |--= xxxxx root /usr/libexec/getty std.9600 ttyC3
 \--= xxxxx root /usr/libexec/getty std.9600 ttyC5

Попробуй сверится с этой заметкой, может какой-то шаг пропустил.

Можно, пожалуйста, линк?

Так более 20 лет истории для приложений из базовой части OpenBSD

Слова - это конечно хорошо, но лично я бы на твоем месте на слово им верить бы не стал.

Как перепрошить Netgear n600 wndr3800 на libreCMC

Слова - это конечно хорошо, но лично я бы на твоем месте на слово им верить бы не стал.

Если не верить даже Тео, то Линукс IMHO можно вообще считать небезопасной системой :)

https://www.reddit.com/r/openbsd/comments/ae6b77/openbsd_enterprise_use/?rdt=65003

Is it enterprise ready? Uh, yah... this company was processing hundreds of millions of dollars a year in credit cards. I'd guess 80% of the servers were OpenBSD. 

ни разу не аргумент кстати. ну и да, сотни миллионов баксов в год - смешно, некоторые махровые энтерпрайзы на оффтопике крутят на порядки больше суммы (не говоря уже о том что на практически всех банкоматах под капотом оффтопик) - так что, следуя вашей логике, срочно ставьте себе вендороутер)))

Дневной запас налички банкомата измеряется сотнями миллионов баксов? :)

Банкомат контачит с паблик интернет в качестве универсальной оси?

махровый энтерпрайз, в т.ч. финансовый, вполне себе смотрит в паблик интернет вендосерверами. срочно ставьте оффтопик, он же секурный, ведь его же энтерпрайз юзает)))

махровый энтерпрайз, в т.ч. финансовый, вполне себе смотрит в паблик интернет вендосерверами. срочно ставьте оффтопик, он же секурный, ведь его же энтерпрайз юзает)))

Безопастность-это процесс. Оффтопик и вправду секурней, чем опенок или линукс. Тупо как следствие массовой распространенности, непрерывного массового копания в нем в поисках 0-day-ев и непрывного залатывания таковых. Тучи спецов задейстованы в процессе по обе стороны баррикад. Опенок-блажь полторы землекопов, используемых этими и еще полторами землекопами. Что там в коде никто не знает и знать не хочет, никто даже не копал. Вернее, копал: один чувак из netbsd прикола ради чуть-чуть копнул, сразу сходу нашел глупейшие ошибки, обеспечивающие возможность проломиться в гипервизор из вартуалки. Скорее всего, весь код в опенке такой же, никто просто не копал и не смотрел.

По моим сведениям периметр вменяемого enterprise нередко огорожен как раз OpenBSD.

Безопастность-это процесс.

OpenBSD хотя бы по умолчанию уже настроен на максимальную безопасность.

Оффтопик и вправду секурней, чем опенок или линукс.

Что-то сомнительно, что в современной инсталляции Windows размером в гигабайты возможна безопасность :)

Безопасность - это роутер на OpenBSD, который потребляет 28Mb RAM, а не 28 Gb как Шизндоуз !

Оффтопик и вправду секурней, чем опенок

Да.

или линукс

Только если на десктопе.

OpenBSD хотя бы по умолчанию уже настроен на максимальную безопасность.

Это все теоретические изыскания Тео и Ко. Хотя бы тесты какие были. В интернетах есть инфа, что в опенке многое тупо не работает так, как заявлено. Оно просто забаговано.

Хотя бы тесты какие были.

CVE есть для remote дыр?

В интернетах есть инфа, что в опенке многое тупо не работает так, как заявлено. Оно просто забаговано.

Можно пример?

Безопасность - это роутер на OpenBSD, который потребляет 28Mb RAM, а не 28 Gb как Шизндоуз

У тебя очень наивные представленя о безопасности. Плевать сколько там чего в ram. Что доказывает, что код написанный разрабом работает и делает то, что нужно? Тесты. Оффтопик тестируется зверски всем миром и MS-ом. Линукс тестируется, у одного оракела сотни тысяч часов ежедневных тестов в его конвейере разработки его дистра. Что у Тео? Один вшивый шкаф в подвале с старым хламом, где что-то он там вроде гоняет, никому даже не интересно что.

CVE есть для remote дыр?

Не доказано, что их там нет. В совокупности с тем, что никто и не ищет, скорее их там вагон.

Что у Тео? Один вшивый шкаф в подвале с старым хламом, где что-то он там вроде гоняет, никому даже не интересно что.

В шкафу происходит тестирование безопасности или сборка?

Не доказано, что их там нет.

Зато доказано, что в Шизндоуз и в Linux их целый ЖД состав.

Some notable companies and organizations that use OpenBSD include:

    genua GmbH: A German company specializing in IT security solutions.
    Clarisys Informatique: A French company providing IT services.
    Microsoft, Facebook, and Google: These companies have made significant contributions to the OpenBSD Foundation.
    US FEMA, IRS, and Department of Justice: These US government institutions are also known to use OpenBSD4.

These are just a few examples, and it's worth noting that OpenBSD is used in various industries and by government entities due to its security features and robust networking stack

https://www.reddit.com/r/openbsd/comments/165c9a9/are_there_any_notable_companies_or_governments_or/

https://enlyft.com/tech/products/openbsd

отож, отож, неуловимый Джо…

бред же. махровый энтерпрайз огораживается цисками.

Махровый цисками, а современный молодёжный OpenBSD ?

современный молодежный т.зв. «ынтырпрайз» - некротиками. ну или хуевеями…

Может быть, кто-нибудь знает готовый способ, как это исправить?

Это из-за внешних воздействий, нужно лучше изолировать оборудование.

Появилась идея грузить из старого Uboot новый Uboot, а уже из него OpenBSD. Как думаете, поможет ли такой вариант? Что-то похожее на загрузку iPXE по PXE :)