LINUX.ORG.RU

systemd In Action, part 4

 


4

3

И мы опять продолжаем.

В этой части серии мы попытались оценить устойчивость бинарного формата лог-файлов journald к произвольным повреждениям, испытали передачу логов по сети с одной машины на другую (нативным для journald способом), произвели настройку сетевого соединения на тестовой машине с помощью networkd/resolved и, наконец, продемонстрировали работу с D-Bus интерфейсами systemd и вспомогательных демонов (ради чего они, собственно, и были сделаны демонами).

Помимо видеоряда также имеется подробная текстовая аннотация.

Авторы: PaulCarroty, like-all, intelfx.

(В случае проблем с доступом к tlhp.cf также имеется зеркало.)

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от CryAngel

Пиратство тут вообще ни при чём. Там чаще подделывают саму проверку, чем ключи. Да, тут тоже можно подделать бинарник journald, но первое же обновление выявит это.

vurdalak ★★★★★
()

И это сразу заметно. Больше ничего и не требуется.

Если это так сразу заметно, то начерта вообще этот монстр нужен ? И не приходило в голову, что окромя момента взлома в логах может быть и еще что-то ?Но ты у нас ведь «не вчера убунту поставил» ведь так ? Может ты мне еще о rt11cj поведаешь на просторах лора ? Или все-же познания как раз у тебя на убунте заканчиваются ?

Нафига тебе заведомо скомпрометированные логи? Ложная информация хуже, чем никакой.

И тем более становиться понятно, что слонопотам в виде systemd просто - НЕНУЖЕН :)

Ты предлагаешь нечто масштабов SELinux и называешь это «не так сложно».

Однако у бивиса нет фантазии :) Отправить письмо/смс,еще какую фигню на основании логов теперь у нас сложно ? Для этого требуется что-то типа selinux ???? Так сложно прикрутить подобный скрипт к примеру к loganalizer-у ? Ах, да, выж у нас «эксперт». Вам нада, видимо, что-то монстродавочное, чтоб показывая на хрензнаеткакогомонстра говорить с напыщенным видом «Я НАСТРОИЛ, СЛАВЬТЕ МЕНЕ! :)

anonymous
()
Ответ на: комментарий от anonymous

Лучше пусть кино снимут. В жанре триллера.

Пар-ну-хууу!!!

anonymous
()
Ответ на: комментарий от vurdalak

оно тут при том, что наглядно показывает, как любые, самые хитрые защиты обходятся при наличии доступа и желания. способов масса - можно подменить бинарник, можно инжектировать свой кусок кода, можно выковырять алгоритм подписи, все перечислять бесполезно (а интересующиеся найдут в интернете). суть в том, что защита работает ровно до тех пор, пока не попала в руки взломщику.

CryAngel
()
Ответ на: комментарий от vurdalak

Насчёт этого кстати в багтрекере уже ответили: wontfix.

Брешешь, собака! Ссылка где?

anonymous
()
Ответ на: комментарий от mandala

Да ради бога. Только без меня.

Да кому ты нужен? Баттхёрт и без тебя нагенерят без проблем, а кроме унылых высеров ты сообществу ничего не дал, так что плевать.

anonymous
()
Ответ на: комментарий от vurdalak

Мы их подписываем, чтобы хацкер не стёр.

Не чтобы не стёр, а чтобы не мог скрытно изменить. Будь точнее в формулировках - наверняка найдётся какой-нибудь дебил, что прикопается к словам.

anonymous
()
Ответ на: комментарий от anonymous

systemd

Тут обсуждают journald, не systemd.

на основании логов

Логи бесполезны на скомпрометированной системе. Объяснять почему?

Кроме того, очень многие вещи в логи не попадают by design.

x3al ★★★★★
()

Вот вы всё тестируете, а народ реально пользуется, и кому реально важны логи, эту вашу дивную штуковину убирает. Не готов journald, совсем не готов.

slapin ★★★★★
()
Ответ на: комментарий от der_looser

лишь бы не использовать текстовые логи

Ну да, я ведь забыл, что любители юниксвэя, это сплошь киборги, воспринимающие информацию прямо с секторов жестких дисков...

Odalist ★★★★★
()
Ответ на: комментарий от Deleted

проникнув в систему, можно с логгером сделать что угодно

например нельзя подделать логи, подписанные journald

anonymous
()
Ответ на: комментарий от CryAngel

вот именно, если. таки не нужно личные предпочтения представлять как факт.

Дык бинарный формат для логов удобнее - это факт. Безопаснее, компактнее, быстрее и надёжнее. В том числе и поэтому большинство дистрибутивов выбрали systemd. Так что не стоит твою личную фобию документированных форматов выдавать за общепринятый факт.

anonymous
()
Ответ на: комментарий от Harald

чем подписываем, где лежит ключ для подписания, и почему у хацкера нету к нему доступа

За каких-то 100 баксов я готов гуглить для тебя хоть целый час.

anonymous
()
Ответ на: комментарий от CryAngel

так то умные люди давно сказали: если есть физический доступ, любые защиты бесполезны

А идиоты ничего не поняв в доказательстве сыпят бессмысленными трюизмами. Хочешь дам физический доступ к моему публичному ключу? Старый добрый RSA, всего лишь 4096 бит. Ну что, сынку, помог тебе физический доступ?

anonymous
()
Ответ на: комментарий от anonymous

Вот когда циска, джунипер, хуявей и т.п будут писать в бинарный формат сислоговые логи - тогда на него и посмотрим. А пока в парк, в зоопарк.

anonymous
()
Ответ на: комментарий от CryAngel

на самом деле, при наличии физического доступа, можно, можно что угодно. вопрос только времени и квалификации взломщика.

Два килобакса наличностью если сломаешь мой публичный ключ (при наличии физического доступа, хе-хе) раньше, чем умрёшь. Слабо, балаболка? Квалификации не хватает, маленький?

anonymous
()
Ответ на: комментарий от der_looser

уже научились читать логи своего журналд чем-то кроме этого самого журналд?

А чего там учиться? strings давно все освоили, кроме безмозглых хейтеров.

anonymous
()
Ответ на: комментарий от anonymous

Вот когда циска, джунипер, хуявей и т.п

Да срать на эту проприетарщину и ТП что на них молятся - один хрен SDN их скоро похоронит.

anonymous
()
Ответ на: комментарий от anonymous

при наличии физического доступа, хе-хе

При наличии физического доступа к закрытому, неси бабло.

ioway
()
Ответ на: комментарий от vurdalak

Старый нельзя.

И старый можно, все средства для подписи находятся на скомпрометированной машине. Ничего хитрого там нет - читай исходники. Фуфломицин вобщем

ioway
()
Ответ на: комментарий от anonymous

Дык бинарный формат для логов удобнее - это факт.

нет, не факт. так же, как не факт, что текстовый формат удобнее. это именно личные предпочтения.

не стоит твою личную фобию

что ты знаешь о моих фобиях.

CryAngel
()
Ответ на: комментарий от der_looser

а фанбои уже научились читать логи своего журналд чем-то кроме этого самого журналд?

Я всегда говорил, что киборги-админы локалхоста, читающие логи «глазами», и проклинающие «бинарные логи», просто не знакомы с задачами, которые возникают, когда надо не только читать /var/log/messages, но и осмысливать прочитанное.

Odalist ★★★★★
()
Ответ на: комментарий от Odalist

админы локалхоста

Вы значить свой десктоп не админите? Даже на это прав нет? :-D

anonymous
()

Лет так 4 назад на работе взломали сервер. Отвечал за него не я на тот момент. Когда я просматривал логи, то никто даже не потрудился их потереть:)
А собственно зачем? Ну что там можно такого увидеть, что бы нужно было тереть логи? Если сервер взломан, то цель достигнута.
Это первый момент.
Не стоит забывать, что когда взламывают сервер не знают как он настроен и куда посылает логи.
Может он их локально складирует, а может и нет. На это никто надеятся не будет.

Я лично ничего не имею против бинарных логов, но мне очень не приятно когда за меня решают что мне удобно а что нет. И хочу заметить, если бы не системД, то про journal мало кто чего знал бы. Многие дальше продолжали использовать текстовые логи.

Ну а по теме это просто пиар. Ничего полезного в этой информации я не увидел.

vitalikp
()

journald можно отрубить и логи через syslog-ng выводить. По крайней мере у меня так будет, если не сотру этот ваш линукс до Великого Прихода systemd на gentoo. В любом случае в винде меня не будут парить кривые драйвера и убогий системДэ

Deleted
()
Ответ на: комментарий от vitalikp

но мне очень не приятно когда за меня решают что мне удобно а что нет.

А когда за тебя пишут, пакетят и сопровождают  — с этим у тебя никаких проблем нет, не так ли?

alpha ★★★★★
()
Ответ на: комментарий от anonymous

кроме унылых высеров ты сообществу ничего не дал, так что плевать.

Чтобы вякать по поводу всяких ненужно я достаточно делаю. Я порой даже снисхожу до тестирования некоторых ненужно.

mandala ★★★★★
()
Ответ на: комментарий от alpha

За меня уже не пишут:) Сделал форк системд для себя. Выпилил отдельно udev, сейчас выпиливаю отдельно journal. Наваят пакет это 10 минут времени от силы не считая сборки. Посему ваш вопрос не к месту. Я согласен терпеть системд на десктопе, но когда начали тащить это на сервера, то для себя сделал вывод ничем хорошим это не закончиться. Посему предпочитаю быть подготовленным.

vitalikp
()
Ответ на: комментарий от CryAngel

я думаю у дебиановцев хватит ума оставить как есть - т.е. возможность использовать System V init останется, пусть он и не дефолтный.

А вот тут вопросы: из коробки все будет работать или придется веселиться по любому малейшему поводу. Посмотрим.

mandala ★★★★★
()
Ответ на: комментарий от alpha

А когда за тебя пишут, пакетят и сопровождают — с этим у тебя никаких проблем нет, не так ли?

А ты не задумывалась, что к мнению пользователей тоже надо прислушиваться? Страшно представить, что станет с ядром, когда Линус отойдет от дел.

mandala ★★★★★
()
Ответ на: комментарий от d_a

С повреждениями при выключении питания как раз никаких проблем даже сейчас. При повторном запуске системы journald заметит, что файл не был корректно закрыт, и начнёт писать в новый.

intelfx ★★★★★
() автор топика
Ответ на: комментарий от ioway

И старый можно, все средства для подписи находятся на скомпрометированной машине.

Бздишь как обычно. Покажи-ка код, который это сделает, трепло.

anonymous
()
Ответ на: комментарий от vitalikp

Посему предпочитаю быть подготовленным.

Вот уж не знал, что к баттхёрту нужно готовиться. С другой стороны, если из-за баттхёрта просрать ихрядно времени на абсолютно бессмысленное занятие, то попоболь только окрепнет.

anonymous
()
Ответ на: комментарий от mandala

А ты не задумывалась, что к мнению пользователей тоже надо прислушиваться?

К мнению пользователей как раз и прислушиваются. Тупые хейтеры при этом в пролёте конечно, но кого это волнует :)

anonymous
()
Ответ на: комментарий от anonymous

Мне все равно веришь или нет) Мне не зачем врать.

vitalikp
()
Ответ на: комментарий от anonymous

К мнению пользователей как раз и прислушиваются.

Ага, одна стабилизация чего стоит.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

Да мы верим, верим...

Анон не может поверить, что регистрант не обязательно рисуется?

mandala ★★★★★
()
Ответ на: комментарий от anonymous

Дело в тебе. Выпей водки и мир станет прекрасным.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.