OpenBSD 6.5

Так опенбзде нет закрытых прошивок на видеокарты, потому видеокарта не задействуется, всё работает на проце и потому багов не видно.

чё? на каком проце? покрути на проце, который был лоуендом в 2012 году, новый Xonotic. Ладно, уговорил - покрути его на ЛЮБОМ проце.

нет закрытых прошивок? правда, что ли? а что тогда http://firmware.openbsd.org делает или утилита fw_update?

а что тогда http://firmware.openbsd.org делает или утилита fw_update?

Судя по irc чату там нет закрытых прошивок и любого закрытого кода только в ядре в отличии от стокового ядра того же Devuan к примеру.

Но для Debian совместимых линупсов можно задействовать Libre ядро, например, из репы: linux-libre.fsfla.org/

Установил в Devuan Ascii 4.19.36-gnu, даже ZFS нормально собрался, ляпота ...

Теперь придется BSDю изучить, не могу никак определиться OpenBSD или HardenedBSD. Я так понял Open secure by ideal code и Hardaned by Grsecurity like примочки к обычному месиву кода фрюхи.

А где-то можно подешевле прикупить слив свеженького GRsecurity?

безопасность OpenBSD в том, что в ней нету блобов

Как это взаимосвязано?

Как это взаимосвязано?

Это связано через отсутствие безопасности внутри блобов

и проверить блобы очень затруднительно

А если блобов нет — софт безопасный?

Конечно нет. Блобованному железу не нужны блобы в софте, чтобы делать что угодно.

Блобованному железу

Бэкдоры в транзисторах?

Из транзистров состоит asic с полной реализацией чего угодно. Чтобы чип что-то делал ему не нужен «дух машины» в виде софта

Даже транзисторы нынче предлагают делать открытыми:

https://libresilicon.com/

После выхода партии с ЗОГ фабрики часть из них можно раскурочить на предмет, а не вставили ли туда бэкдору.

Может, хоть Talos подешевеет, когда люди поймут, что в его текущей реализации затруднительно проверить, а не добавили ли в OpenPower closed закладки прямо на заводе.

В OpenBSD любой битности такого не бывало просто никогда.

Я рад за тебя. Нет, серьезно. Держи и дальше в курсе.

Возник интересный вопрос, можно ли считать OpenBSD внучкой Сталина?

https://cont.ws/uploads/pic/2019/4/Внучка Сталина.jpg

Вообще-то как раз в OpenBSD изначально сделали сброс привилегий для X-сервера. Он запускается с правами рута, чтобы получить доступ к определённым ресурсам (например, к видеопамяти), после чего меняет текущий UID на не привилегированный.

Проблема же в том, что пользователи всегда хотели запускать Иксы от своего имени, поэтому исполняемый файл X-сервера везде по жизни SUID.

Очередная уязвимость в Иксах достала Тео, поэтому теперь официально рекомендуемый вариант запуска Иксов — через xenodm (фирменный форк xdm, с использованием уже устоявшихся наработок проекта OpenBSD в целом по части обеспечения безопасности кода).

А кто вам дал право указывать, что делать разработчикам? Вам не хватает nouveau в OpenBSD — так портируйте, исходники открыты, всё для вас. Или вы только на форуме языком молоть умеете?

А что они его, принципиально отказываются добавлять? Или там несовместимость лицензий?

Что значит «отказываются добавлять»? Вы так говорите, как будто драйвер для кучи современных навороченных (читай: очень нЭжных) видеочипов можно легко взять и собрать под другой ОС. Да ещё и поддерживать в актуальном состоянии, то есть, проходить этот путь (пусть уже немного знакомый) каждые полгода минимум. Вы будете это делать? Нет? А почему кто-то ещё должен?

Оплатите эту работу? — без проблем. Если не в базовой системе, так в портах где-нибудь через полгода получите искомое.

И если там нет Nouveau — как осуществляется работа с картами Nvidia? Во фре, ЕМНИП, даже блоб можно поставить...

Можно, т.к. NVIDIA компилирует эти самые драйвера для фряхи. А для остальных не компилирует. Ну и хрен с ними.

Странно, и как только люди умудряются ставить рабочие станции на OpenBSD в крупных фирмах... Неужели есть такие люди, которым не важно отсутствие драйверов для видеокарт NVIDIA и Bluetooth на десктопе, а важно легко управлять предсказуемой системой с чётким релизным циклом?

Я задал два вполне конкретных вопроса, на разработчиков ОС не наезжал. В ответ получил простыню в стиле «Нет, ты», но без ответов на заданные вопросы. Всё как всегда, в общем.

Похоже, придётся признать себя виноватым в излишней агрессии. :( Я отвечал на ваш комментарий между ответами куда более агрессивному человеку (Odalist), и в том момент ваши слова показались тоже более агрессивными.

По сути — nouveau требует заметных усилий как для первоначального портирования, так и для дальнейшей поддержки. Учитывая крайне свинское отношение NVIDIA к миру open source, в рядах разработчиков OpenBSD, никто желанием выполнять эту работу не горит — но и против никто не будет.

А чтобы был бинарный драйвер — это уж точно не к OpenBSD вопрос.

А выше пишут что бинарные прошивки у них там есть.

Не путайте прошивки (код, работающий на железе, по сути — часть железа) и драйверы (код, работающий на CPU и входящий в состав операционной системы).

OpenBSD не приемлет закрытые драйверы, но допускает закрытые прошивки: последние по сути ничем не отличаются, с точки зрения последствий, от закрытых аппаратных решений — а они практически все закрытые. Использовать эти прошивки вас, впрочем, не принуждают. :)

А кто вам дал право указывать, что делать разработчикам?

Я не указываю, тем более, что этот форум никак не связан с разработкой OpenBSD. Тут главный сектан не тусует.

Вам не хватает nouveau в OpenBSD — так портируйте, исходники открыты, всё для вас.

Звучит, как сперва добейся сам. Как-то банально...

Я это все знаю...

Бред какой-то. Эти прошивки исполняются на устройствах, которые имеют полный dma доступ ко всей памяти. В чём смысл тогда, если никакой секурности там с таким раскладом нет?

OpenBSD не приемлет закрытые драйверы, но допускает закрытые прошивки: последние по сути ничем не отличаются, с точки зрения последствий, от закрытых аппаратных решений — а они практически все закрытые. Использовать эти прошивки вас, впрочем, не принуждают. :)

А какая железяка самая свободная и открытая под OBSD?

Говорят очень хороша BBB (Beaglebone Black), врутъ ?

Бред какой-то. Эти прошивки исполняются на устройствах, которые имеют полный dma доступ ко всей памяти. В чём смысл тогда, если никакой секурности там с таким раскладом нет?

Наиболее вероятно, что часть железа, под которое существует OBSD, кое для кого открыто в отличии от всех остальных. Вот они и используют community в качестве тестового полигона, хотя держат всех пользователей на крючке аппаратных закладок. Себе же любимым они выдают полностью открытое железо, фот такой фокус-покус.

Бред какой-то. Эти прошивки исполняются на устройствах, которые имеют полный dma доступ ко всей памяти. В чём смысл тогда, если никакой секурности там с таким раскладом нет?

Так ведь от атак на DMA центральной системы легко защититься по сетевым протоколам типа NFS/NBD/iSCSI для HDD и по usbip для шины USB на дополнительных вспомогательных хостах.

А соединить их можно со стороны центральной системы полностью открытой реализацией Ethernet, а на вспомогательных хостах какая разница какую говнятину пихать в качестве Ethernet, все равно там диски с DMA, неведомые USB прошивки и т.п. закрытый трэш?

Лучще бы, эти страдальцы, добавили бы Nouveau.

Если это не указание разработчикам системы, что им следует делать, то что это?

Тут главный сектан не тусует.

Действительно, мудрая смелость: указывать что делать там, где адресат наверняка не прочтёт.

Звучит, как сперва добейся сам. Как-то банально...

Нет, звучит как «разработчики системы вам ничего не обещали и ничем не обязаны». Если вы хотите, чтобы в OpenBSD работал драйвер nouveau, сделайте для этого что-нибудь — сами возьмите в руки компилятор, или оплатите кому-то работу. OpenBSD — проект не для вечно чего-то хотящих, а для готовых что-то делать. Впрочем, как и значительная часть open source. Давайте, сходите в LKML и скажите, что лучше бы они нормальную звуковую подсистему сделали. Если матерными будут меньше половины ответов, считайте, что вам повезло.

прошивки исполняются на устройствах, которые имеют полный dma доступ ко всей памяти.

Не совсем корректно, но в целом, да, имеют. Но устройству совсем не нужны для этого прошивка, вся «интересная» логика может жить и в железе. Без доступа к проектной документации на железо и средств аудита бороться с бинарными прошивками, в общем-то, бессмысленно.

Ну да, именно поэтому Intel продолжает политику игнорирования в отношении уведомлений OpenBSD о багах в процессорах Intel (работы после недавних новостей идут полным ходом, если что).

Не, мне понравилась теория, спасибо. :)

Китайские MIPS были интересные, которые loongson... Пошукайте в архивах misc@openbsd.org, там подобные вопросы регулярно задают, и ответы дают охотно.

вся «интересная» логика может жить и в железе.

как это понимать? ведь даже внутри X86 есть микрокодовая прошивка. хотя внутри ARM ее почти как бы нет, но ведь все равно немного есть?

а что значит чисто железо без прошивки?

а что значит чисто железо без прошивки?

Ну вот и выросло поколение...

Прошивка — это способ менять поведение железа, реализовывать произвольную (в неких рамках, конечно) логику. Прошивка позволяет что-то поменять в железке без замены собственно железки. В частности, микрокод в CPU нужен в первую очередь для исправления/обхода ошибок. А ошибки в современных CPU исчисляются десятками и сотнями. Найдите errata по Intel Core 2 и ужаснитесь.

Изредка прошивки используют для собственно полезной деятельности — кто помнит так называемые Win-модемы, поймёт, о чем я. Но суть не меняется: прошивка лишь дополняет железо, и сама по себе не обязана существовать.

А можно пример чисто «железной» закладки без микрокода и прошивок? Что такая закладка может предоставить? Упрощенное рутование? Что-то еще?

Полноценный троян может существовать в железе без прошивок? Способно ли железо без прошивки дернуть за некий урл и качнуть троян на компьютер?

А почему оно не может этого делать? Если штатно какая-нибудь Intel AMT позволяет много интересных вещей делать, то кто запретит делать то же самое нештатно?

Я больше скажу, вот пример подхода к борьбе с изначально заложенными в железо «недокументированными возможностями»: https://www.itweek.ru/security/article/detail.php?ID=187789

А вообще, зачем качать что-то на компьютер, если у вас есть доступ ко всей передаваемой информации, со всеми ключами и содержимым открытых файлов? :)

А вообще, зачем качать что-то на компьютер, если у вас есть доступ ко всей передаваемой

информации, со всеми ключами и содержимым открытых файлов? :)

Предположим, возмем Beaglebone black или либребутнутую материнку в качестве рабочей станции. Не будем к ней напрямую подключать ничего кроме open source Ethernet, а все нужные устройства подключим по IP (iSCSI/usbip и т.п.). Содержимое дисков зашифруем на рабочей станции, чтобы контроллеры дисков ничего не могли достать даже при полном доступе к RAM через DMA.

Получается, на рабочей станции не будет известного жучка? MBR сектор тоже защитим загрузкой с очень древней флэшки и/или libreboot payload. Остаются только доисторические неведомые уязвимости в неведомых ROM?

OBSD Workstation encryption -> ethernet -> device server with USB, HDD, etc.

А почему оно не может этого делать? Если штатно какая-нибудь Intel AMT позволяет много интересных вещей делать, то кто запретит делать то же самое нештатно?

А разве это чисто железо без прошивки (программы)? Там ЦЕЛАЯ софтовая ОСЬ! Minix с кучей зондов, если ее mecleaner-ом убрать, то как железо само без проги в ROM будет чегой-то наблюйдать например в RAM?

Никто не мешает воткнуть рядом ещё и asic, которому и софт не нужен.

ASIC чип ведь можно определить по маркировке?

Или их тайно встраивают на тот же кристал, который преподносится как чип другого назначения (не ASIC) ?

Ничто не мешает не лепить его очевидным анклавом рядом, а интегрировать в основную схему.

И если там нет Nouveau — как осуществляется работа с картами Nvidia?

Там есть nv, вместо Нуво.

Ниасилили. Ведь нуво не нужны даже закрытые прошивки для карт до 9xx серии.

Китайские MIPS были интересные, которые loongson... Пошукайте в архивах misc@openbsd.org, там подобные вопросы регулярно задают, и ответы дают охотно.

Lemote тяжело найти даже на китайских барахолках.

А Столман свой кому-то уже отдал? :) В музей имени себя поди сдал.

Я больше скажу, вот пример подхода к борьбе с изначально заложенными в железо «недокументированными возможностями»: https://www.itweek.ru/security/article/detail.php?ID=187789

Если я правильно понял, то с закладками типа:

https://www.eecs.umich.edu/cse/awards/pdfs/A2_SP_2016.pdf

т.е. теми, которых изначально не было в спецификации разработчика (закладки, добавленные тайно на заводе по инициативе диверсантов на заводе либо даже самих заводчан) можно бороться с помощью техпроцесса типа Libre Silicon, который позволяет раскурочить часть экземпляров, выбранных случайным образом и сделать вывод о наличии в них новых закладок, а на основании этого сделать предположение об остальных целых чипах из этой партии.

А почему нет сабжа для N900?

В N900 мало закладок?

Как закладки N900 реагируют на новое ядро типа 4.19 и неожиданно новую неизвестную для них файловую систему?

Забавно, сделали аппаратный эмулятор древнего X86 на базе FPGA.

https://habr.com/en/post/146160/

Интересно, в FPGA платах тоже закладки как обычно?

Вот на такой:

https://www.avito.ru/krasnodar/tovary_dlya_kompyutera/xilinx_fpga_btu9p_13117...

наверно, можно сделать эмуль X86 не хуже Core2 Duo ?

Нет.