LINUX.ORG.RU
ФорумTalks

Фаервол против гуя

 , ,


1

3

Расскажу-ка вам историю из загробного мира :-)

Мак – отличная штука. Живой работающий пример всего того, что, согласно фольклору линуксоидов, либо не существует, либо нормально работать не может. Однако же вот он, живой, работает – а мы в линуксе все еще двачуем капчу на последний коммит в репе systemd, обсуждаем какие-то психически неуравновешенные темы вроде «predictable names» для сетевых интерфейсов, итп.

Но иногда здесь случаются абсолютно невероятные вещи. Например, фаервол, привязанный к гую.

Сегодня логинюсь на макмини (оживленный дабы кодить в гостиной на большом экране телевизора)... И сразу после логина его интерфейс виснет. Висит трей, висит док, висят скайпы и джаберы. Программы запускаются, но очень мало какие.

Перезагружаюсь – снова виснет. Тогда начинаю долбить killall -KILL SystemUIServer («перегрузить всю графику нафиг»), и несколько секунд после этого система работает, потом снова виснет.

В ходе перезагрузок была выяснена интересная особенность. Когда система «висит», также не работает http и пинги на яндекс. Иногда проходят, но в 99% случаев интернета нет. Сразу после -KILL SystemUIServer пару секунд в Сафари-Хромиуме грузится гуголь и начинают ходить пинги на яндекс, но потом соединение снова пропадает.

Следующий вывод не укладывался в мою картину мира, поэтому делал его минут 10 точно.

Во всем оказался виноват фаервол. Вот этот: http://ompldr.org/vaTBxYQ/2013-04-07 10.26.09 pm.png

Казалось бы, как может быть фаервол быть связан с графическим сервером? Это же совсем-совсем разные сущности?

У него слетел конфиг, и как-то криво стал загружаться его демон.

А с криво запущенным демоном –

1) криво работает его гуй. А гуй встраивается в трей, и убивает его загрузку. Причем забавно, он убивает только те программы, что пытаются попасть в трей после него, а вот своя собственная иконка в трее у него работает ОК. Убитый трей не позволяет стартануть программам, которые при старте пытаются с ним что-то сделать (т.е., почти всем программам).

2) криво работают правила фильтрации, которые решили «заблокировать почти все». Замечатльный фаервол блокирует не только сетевые соединения (прощай скайп и адиум), но и доступ на чтение-запись файлов (прощай все остальные программы). Ну слава б-гу, хоть zshell-у возможность читать конфиг не заблокировал, и он не завис как все остальные скайпы – так появилась возможность открыть терминал.

После этого я попытался удалить фаервол стандартным способом (удалить его директорию из /Applications), но это оказалось невозможно, т.к. файлы заблокированы, и очень быстро переблокируются заново.

Тогда я попытался убить фаервол из списка процессов, но у него оказалось там дофига (как минимум два) разных процесса, которые перезапускают друг друга. Убил демона - его поднял агент, убил агента - его поднял демон. Дело Робина Гуда и Монаха Тука живет :-) Можно было бы проверить, как выдаются пиды на новые процессы (по порядку, наверное), и написать какой-то скрипт для убивания пачкой, но это показалось слишком геморно при наличии других вариантов. Плюс, а что если это не процессы друг друга оживляют, а просто стоит какой-то системный хук (в маке такое вообще возможно - поставить хук на отсутсвие признака?)

Пошел перегружаться в безопасном режиме, но, ВНЕЗАПНО, мак отказался грузиться в нем. Сразу после проверки диска – ноль реакции в течение часа. Т.к. «безопасный режим» не реагирует на шифт и флаг ядра -v (выставленный через sudo nvram boot-args="-v"), даже узнать что там творится нельзя. Переключалок в виртуальные консоли, по F-кам, как в линуксах, там нету. Вообще, невозможность загрузиться в безопасном режиме – это палево какое-то, опасно на таком компе что-то делать. Поэтому в тред кастуется специалисты по всему – можете посоветовать, что тут можно сделать, без использования радикальных мер? Хотелось бы глянуть хотя бы на лог ведра.

Ну в общем, я уже был готов применять радикальные методы, как-то разборка корпуса, вытаскивание жесткого диска, втыкание его в линукс и rm -rf /*, но тут обнаружил, что фаервол можно удалить из его же главного меню. Прямо в юзерском режиме, выбрав пункт uninstall. И потом с двумя перезагрузками можно накатить более новую его версию, которая более хорошо совместима с последними обновлениями макоси.

Вот такая вот история.

Источник: http://users.livejournal.com/__hedin/503131.html
Скрин того самого гуя: http://ompldr.org/vaTBxYQ/2013-04-07 10.26.09 pm.png

★★★★☆

Последнее исправление: stevejobs (всего исправлений: 2)

Расходимся, посоны

На скрине какое-то третьестороннее говно. Двери, яйца, щемить.

shimon ★★★★★
()
Ответ на: комментарий от stevejobs

да-да, детка, скачай еще два гигабайта этих замечательных свежих обновлений, скачай их еще два раза!

что?
я сам выбираю - ставить обновления, или нет.

чудеса современного анонимного анализа :)

ты видимо пьян

xtraeft ★★☆☆
()

Тогда я попытался убить фаервол из списка процессов, но у него оказалось там дофига (как минимум два) разных процесса, которые перезапускают друг друга.

У. А kill с двумя пидами не ок был?

Q3164
()
Ответ на: комментарий от Q3164

вообще, это очень правильно сделали. Если программа с рутовскими привилегиями захочет убить фаервол, чтобы получить доступ к интернету, простыми способами у нее это не получится.

stevejobs ★★★★☆
() автор топика
Ответ на: комментарий от xtraeft

можешь привести конкретный пример?

Берешь тот же скрин автора http://ompldr.org/vaTBxYQ/2013-04-07 10.26.09 pm.png , если у тебя такой клевый монитор с ретиной, то копируешь в любой граф. редактор и увеличиваешь. Смотришь на слово Allow.

P. S. Теперь я понял зачем Apple придумали ретину: чтобы не видно было таких вот фейлов.

Kroz ★★★★★
()
Ответ на: комментарий от Kroz

Наверное, это очень глупый вопрос, но на всякий случай... Качество скриншота как-нибудь зависит от качества девайса, который в данный момент показывает картинку? Качество ШГ, например? (А то девайс у мну сейчас аховый - древний самсунг, рендерящий 720p/60Hz на большую диагональ через HDMI-DVI. Картинка выглядит чудовищно, зато из-за огромного размера экрана не нужно напрягать глаза)

stevejobs ★★★★☆
() автор топика
Ответ на: комментарий от xtraeft

знающие люди порежут нормальным способом (а не кряченым проприетарным софтом)

Якобы знающие люди ничего никогда не делают в реальности. Потому и называют себя знающими.

quiet_readonly ★★★★
()

Завязывай с макосью, Жопс!

CYB3R ★★★★★
()
Ответ на: комментарий от Kroz

нет, у меня не ретина

увеличиваешь. Смотришь на слово Allow.

увеличиваю, буквы идентичные.
upd: аа, слева в «Allow» действительно разные. в «allow» - идентичные. не знаю почему так, может особенность сглаживания

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 2)
Ответ на: комментарий от druganddrop-2

Да. а где косяк тут Макоси, косяк в жадности и кривом устаревшев фаерволе.

Если программа может сломать трей, то косяк таки в макоси. Аналогично с блокировкой записи в файлы. А где же рут с его вседозволенностью, спрашивается?

quiet_readonly ★★★★
()
Ответ на: комментарий от quiet_readonly

Если программа может сломать трей, то косяк таки в макоси. Аналогично с блокировкой записи в файлы. А где же рут с его вседозволенностью, спрашивается?

этот чудо фаервол разве от юзера работает?

xtraeft ★★☆☆
()
Ответ на: Расходимся, посоны от shimon

На скрине какое-то третьестороннее говно. Двери, яйца, щемить.

Это точно! Читая подобные шикарные топики, все больше и больше убеждаюсь, что намного проще отрезать таким товарищам яйца, чем демонтировать все двери и другие опасные для линуксоидов предметы.

TowTruck
()
Ответ на: комментарий от quiet_readonly

ну, если фаервол работает в юзерспейсе, то он не имеет особого смысла.
если он работает от рута, то он может сделать с системой что угодно, тем более непонятно что там в кряченой варезной версии

xtraeft ★★☆☆
()
Ответ на: комментарий от quiet_readonly

в этих ваших линуксах каждый чих может сломать все, хуже чем винде.

druganddrop-2 ★★
()
Ответ на: комментарий от xtraeft

У меня и на IntelliJ IDEA, например, есть ключ, но везде на компах стоит «варез». Проще запустить кейген, чем найти ключ где-то в недрах почты. Если придут менты, я его, конечно, найду в дебрях почты, но не ранее. Кстати, менты ни разу не приходили, т.ч. считаю все эти движения по активации софта, на который и так есть ключи, излишники.

stevejobs ★★★★☆
() автор топика
Последнее исправление: stevejobs (всего исправлений: 1)
Ответ на: комментарий от stevejobs

У меня и на IntelliJ IDEA, например, есть ключ, но везде на компах стоит «варез».

продолжай мучаться с кряками и обязательно держи нас в курсе событий

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от Legioner
ПРИШЛО ВРЕМЯ ПЕРЕУСТАНАВЛИВАТЬ ШINDOWS 
ШINDOWS САМ НЕ ПЕРЕУСТАНОВИТСЯ 
ПЕРЕУСТАНОВИ ЕГО, ПЕРЕУСТАНОВИ ЕГО ЕЩЕ РАЗ
 ЗАЧЕМ МНЕ НУЖЕН LINUX, 
У МЕНЯ НЕТ ВРЕМЕНИ ЧТОБЫ ЕБАТЬСЯ С НИМ 
ЛУЧШЕ ЕЩЕ РАЗ ПЕРЕУСТАНОВИТЬ ШINDOWS 
Я ПЕРЕУСТАНАВЛИВАЮ ШINDOWS ПО 3 РАЗА В ДЕНЬ 
КАЖДАЯ ПЕРЕУСТАНОВКА ЗАНИМАЕТ ДВАДЦАДЬ МИНУТ 
Я ЖИВУ АКТИВНОЙ И ПОЛНОЦЕННОЙ ЖИЗНЬЮ 
Я УСПЕШЕН И ПОЭТОМУ ЦЕЛЫЙ ДЕНЬ ИГРАЮ В ИГРЫ 
А ПОСЛЕ ЭТОГО ПЕРЕУСТАНАВЛИВАЮ ШINDOWS 
ТУПЫЕ ЛИНУКСОИДЫ ОДЕРЖИМЫ КОНПЕЛЯЦИЕЙ ВЕДРА 
А Я СВОБОДНЫЙ ОТ ЗАДРОТСТВО ЧЕЛОВЕК 
СКОЧАТЬ БЕЗПЛАТНО И БЕЗ РЕГИСТРАЦИИ МОКРЫЕ ПИСЕЧКИ КРЯК УЛЬТИМАТ КЕЙГЕН РАЗБЛОКИРУЙ ВЕНДУ ЛУЧШЕ Я ПЕРЕУСТАНОВЛЮ ЕЩЕ РАЗ ШINDOWS И КРЯКНУ ЕЕ, 
СТАБИЛЬНОСТЬ НЕ НУЖНА 
Я НЕ ПЕРЕУСТАНАВЛИВАЛ ШINDOWS НЕДЕЛЮ ПОЙДУ ПЕРЕУСТАНОВЛЮ 
В ШINDOWSE ВСЕ ПРОСТО И ПОНЯТНО ОШИБКА STOP 0x0000000A. ЭТО ЖЕ ОЧЕВИДНО КАК ЕЕ РЕШИТЬ 
ПРИШЛО ВРЕМЯ ПЕРЕУСТАНАВИТЬ ШINDOWS 
ККОКОКОКОКОКОКО ЖМУ/ПИНУС ШВАБОДКА ПИТУХИ КОКОКОКОКОКОКО
LongLiveUbuntu ★★★★★
()
Ответ на: комментарий от stevejobs

1) обычным людям часто нужна приватность. Программы через одну собирают «анонимную» сетевую статистику, и от этого факта очень припекает попу. А фаервол позволяет посмотреть, куда долбятся все эти товарищи, и выборчно порезать ненужные направления.

Зачем ставить такие программы? Если программа не предупреждает пользователя о том, что она собирает статистику, то это уже троян.

А вообще на маке есть кошерный ipfw, нафиг нужны эти недофаерволы.

DukE-M ★★
()
Ответ на: комментарий от xtraeft

Эк тебе задницу-то всеми этими лицензионными вопросами разорвало :) Откуда у тебя такие комплексы? Или живешь в какой-то арабской стране?

stevejobs ★★★★☆
() автор топика
Ответ на: комментарий от LongLiveUbuntu

Переустановка виндовс это пару дней мучений, нафиг-нафиг. Там даже бэкап юзера со всеми настройками фиг сделаешь.

Legioner ★★★★★
()
Ответ на: комментарий от stevejobs

Качество скриншота как-нибудь зависит от качества девайса, который в данный момент показывает картинку?

Если кратко - нет. Скриншот - копия содержимого видеопамяти (ну, или ее копии, промежуточного буфера, но так, AFAIK уже не делают). Поэтому от монитора или от видеокарты это не зависит.

Вообще, качество - вещь субъективная. И твое восприятие качества действительно зависит от экрана. Например, алгоритм сглаживания (anti-aliasing) состоит в том, что добавляются «полупрозрачные» (или как еще выразиться) пиксели в определенных местах - на изгибах и косых линиях. Если у тебя монитор с большими пикселями (маленькое DPI), то эти пиксели сильнее бросаются в глаза, и ты видишь ШГ. Но если то же (скриншот) показать на мониторе с большим DPI, то там такие пиксели будут менее заметны, и создастся впечатление сглаженности. Наоборот, на мониторе с большим DPI, слабое сглаживание будет делать впечатление что буквы слишком тонкие или недостаточно «гладкие», поэтому на таких мониторах обычно устанавливают более сильное сглаживание. Еще, конечно же, нужно учитывать персональные вкусы конкретного человека.

Но на скриншоте ТС'а в букве 'l' другой нюанс: она занимает полтора пикселя по ширине. Это уже претензия в алгоритму. Какой бы ни был монитор, вертикальные и горизонтальные линии должны занимать целое число пикселей чтобы шрифты выглядели четко. На мониторе с маленьким DPI это сразу бросается в глаза, с большим DPI разницу видишь только в сравнении. Но в любом случае так быть не должно.

Kroz ★★★★★
()

Тогда я попытался убить фаервол из списка процессов, но у него оказалось там дофига (как минимум два) разных процесса, которые перезапускают друг друга.

убивать надо родительский процесс

n_play
()
Ответ на: комментарий от Kroz

Какой бы ни был монитор, вертикальные и горизонтальные линии должны занимать целое число пикселей чтобы шрифты выглядели четко. На мониторе с маленьким DPI это сразу бросается в глаза, с большим DPI разницу видишь только в сравнении. Но в любом случае так быть не должно.

Почему? Шрифты рендерятся не для скриншотов, а для юзера. На ретине у меня этот скриншот смотрится номально, «артефакты» я увидел только увеличив экран.

Если выравнивать буквы по пикселям, будет получаться фигня с кернингом и т.д. В винде так выравниваются и визуально между буквами бывает неодинаковое расстояние, выглядит некрасиво. Если по алгоритму буква начинается по координате X = 13.374, то именно там она и должна начинаться.

Legioner ★★★★★
()
Ответ на: комментарий от Kroz

Но в любом случае так быть не должно.

Не совсем. Если положить рядом два айпада с ретиной и не-ретиной и открыть в них одну и ту же страницу, станет понятны мотивы авторов такого сглаживания. Несмотря на большую разницу в качестве рендеринга, ощущаются они почти одинаково (сохраняется вес).

note173 ★★★★★
()

Это всё фигня. Вот у моей жены при старте transmission-qt в трёх случаях из пяти арчик грациозно выключается. И, нет, не падает, а именно штатно выключается, как будто ему скомандовали systemctl halt. Чешу сейчас репу, не знаю с какой стороны разведку начинать.

Axon ★★★★★
()
Ответ на: комментарий от stevejobs

Не люблю создавать темы «Ааа, ниработаит, что делать?!!!» Сначала всегда разбираюсь сам, потом уже спрашиваю совета, если не тяну.

Axon ★★★★★
()
Ответ на: комментарий от Axon

transmission-qt

А ты настройки почеши, там было что-то на тему: выключать комп при завершившихся загрузках.

Ygor ★★★★★
()

без использования радикальных мер?

А установочный диск, как ливсд то работает в вашей макосии, бгг?

Ygor ★★★★★
()
Ответ на: комментарий от stevejobs

я не очень понимаю людей, которые ловят крякопроблемы и при этом жалуются на ос

xtraeft ★★☆☆
()
Ответ на: комментарий от Ygor

Почесал первым делом. До ссадин расчесал, ничего такого не нашёл. Гуглёжь показывает, что эта фича только скриптами туда прикручивается.

Axon ★★★★★
()
Ответ на: комментарий от quiet_readonly

Если программа может сломать трей, то косяк таки в макоси. Аналогично с блокировкой записи в файлы. А где же рут с его вседозволенностью, спрашивается?

sudo rm -rf /* сломал мне весь линукс, вот же говно он, а.

urandom
()

Живой работающий пример всего того, что, согласно фольклору линуксоидов, либо не существует, либо нормально работать не может.

Казалось бы, как может быть фаервол быть связан с графическим сервером?

Все верно, графический фаервол нормально работать не может.

segfault ★★★★★
()
Ответ на: комментарий от stevejobs

Если программа с рутовскими привилегиями захочет убить фаервол

Эмммм. Давать рутовские привелегии подобным программам? Пожалуй нет.

cvs-255 ★★★★★
()

КГ/АМ

Опус какой то. Аффтар Hands off! криворукое поделие, и то что он у Вас на машине оказался это чистой воды ССЗБ. Этот «продуктЪ» нужен в макасинам как собаке 6,7 или 8 нога !

robot12 ★★★★★
()

Тогда я попытался убить фаервол из списка процессов, но у него оказалось там дофига (как минимум два) разных процесса, которые перезапускают друг друга. Убил демона - его поднял агент, убил агента - его поднял демон. Дело Робина Гуда и Монаха Тука живет :-)

Ничего, у нас скоро тоже так будет. Неубиваемый pulseaudio уже есть, осталось дождаться systemd-iptables со встроенным systemd-selinux.

AX ★★★★★
()

ССЗБ:
Поставил какую-то хрень и страдал

anonymous_sama ★★★★★
()
Ответ на: комментарий от Kroz

Если кратко - нет.

На Маке скриншот может отличаться от картинки на экране монитора. Хотя бы потому, что пользователь всегда видит результат работы композитного менеджера, который формируется при аппаратной поддержке видеокарты, а скриншот может быть из фрейм-буффера приложения.

Какой бы ни был монитор, вертикальные и горизонтальные линии должны занимать целое число пикселей чтобы шрифты выглядели четко.

Пусть лучше будут слегка по-разному отрендерены глифы, но с сохранением очертаний и правильным кернингом, чем «пляшушие человечки». Хочешь четкого совпадения линий на экране — возьми битмапные шрифты.

baka-kun ★★★★★
()
Ответ на: комментарий от onon

от таких форк-бомб помогает настройка лимитов.

WatchCat ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.