# Re: g2k14: Marc Espie on ports and packages
zhuk@ (lenina,131) → 51t – 16:22:17 2014-08-04
> а чтобы любой адрес *.ipv6.51t.ru работал? чтобы я мог все сервисы и на 51t.ru и на ipv6.51t.ru вешать
done
zhuk@ (lenina,131) → 51t – 16:22:17 2014-08-04
> а чтобы любой адрес *.ipv6.51t.ru работал? чтобы я мог все сервисы и на 51t.ru и на ipv6.51t.ru вешать
done
# Re: g2k14: Marc Espie on ports and packages
51t (lenina,1) → zhuk@ – 16:14:43 2014-08-04
а чтобы любой адрес *.ipv6.51t.ru работал? чтобы я мог все сервисы и на 51t.ru и на ipv6.51t.ru вешать, одни для ipv4, другие для ipv6 (кстать, уже нашёл и исправил косяк регистрации при работе ipv6).
51t (lenina,1) → zhuk@ – 16:14:43 2014-08-04
а чтобы любой адрес *.ipv6.51t.ru работал? чтобы я мог все сервисы и на 51t.ru и на ipv6.51t.ru вешать, одни для ipv4, другие для ipv6 (кстать, уже нашёл и исправил косяк регистрации при работе ipv6).
# Re: g2k14: Marc Espie on ports and packages
zhuk@ (lenina,131) → 51t – 16:04:12 2014-08-04
Ну вот как-то так уже работает:
zhuk@ (lenina,131) → 51t – 16:04:12 2014-08-04
Ну вот как-то так уже работает:
====
$ host -t ANY ipv6.51t.ru 127.0.0.1
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases:
ipv6.51t.ru has SOA record ns1.ohvost.ru. mail.51t.ru. 2014080402 28800 7200 864000 86400
ipv6.51t.ru name server ns1.ohvost.ru.
ipv6.51t.ru has IPv6 address 2a01:7c8:aab0:4af::5
====
# Re: черновик от тэо
zhuk@ (lenina,131) → 51t – 15:55:42 2014-08-04
(попробовал перевести сам... вроде, терпимо, но надо будет ещё раз вычитать)
g2k14: Theo de Raadt: безопасность и конфигурашность
Лидер проекта OpenBSD Тео де Раадт (deraadt@) пишет об g2k14:
Две недели перед Словенией я работал с Бобом Беком (Bob Beck) над заменяющими getentropy(2) функциями. В начале хакафона были внесены последние штрихи, нужные Бобу и Бренту Куку (Brent Cook) для дальнейшей работы.
Затем пришло время разбираться с очередной проблемой безопасности, о которой мне стало известно. К нашему прискорбию выяснилось, что исчерпание ограничения на количество одновременно открытых файлов может быть использовано для сокрытия уведомлений о переполнении стека от соответствующего механизма защиты. Защитнику стека требуется файловый дескриптор, чтобы сообщить об ошибке. Те, кто уже читал заметки об arc4random и getentropy, уже в курсе данной ситуации.(*)
Проблема стала очевидной из-за технологии "песочницы", используемой ныне в SSH-утилитах, которая закрыла syslog_r() доступ к socket(), connect(), sendto()... всем системным вызовам, необходимым для сообщения об ошибке, но потенциально опасным - что как раз "песочница" и должна предотвращать.
Задача была решена путём создания нового системного вызова, который может отправить сообщение в syslogd без использования лишних ресурсов; syslog_r(3) теперь использует его напрямую: один щелчок, выстрел, поехали дальше. Данный системный вызов имеет более чем узкое применение, и поэтому был назван sendsyslog(2), и при этом он также подходит для специфических условий, таких как использование "песочницы".
В этом плане, ситуация схожа с тем, как getentropy(2) была вынесена из sysctl. Забавно, как одно приводит к другому.
>> Читать далее
zhuk@ (lenina,131) → 51t – 15:55:42 2014-08-04
(попробовал перевести сам... вроде, терпимо, но надо будет ещё раз вычитать)
g2k14: Theo de Raadt: безопасность и конфигурашность
Лидер проекта OpenBSD Тео де Раадт (deraadt@) пишет об g2k14:
Две недели перед Словенией я работал с Бобом Беком (Bob Beck) над заменяющими getentropy(2) функциями. В начале хакафона были внесены последние штрихи, нужные Бобу и Бренту Куку (Brent Cook) для дальнейшей работы.
Затем пришло время разбираться с очередной проблемой безопасности, о которой мне стало известно. К нашему прискорбию выяснилось, что исчерпание ограничения на количество одновременно открытых файлов может быть использовано для сокрытия уведомлений о переполнении стека от соответствующего механизма защиты. Защитнику стека требуется файловый дескриптор, чтобы сообщить об ошибке. Те, кто уже читал заметки об arc4random и getentropy, уже в курсе данной ситуации.(*)
Проблема стала очевидной из-за технологии "песочницы", используемой ныне в SSH-утилитах, которая закрыла syslog_r() доступ к socket(), connect(), sendto()... всем системным вызовам, необходимым для сообщения об ошибке, но потенциально опасным - что как раз "песочница" и должна предотвращать.
Задача была решена путём создания нового системного вызова, который может отправить сообщение в syslogd без использования лишних ресурсов; syslog_r(3) теперь использует его напрямую: один щелчок, выстрел, поехали дальше. Данный системный вызов имеет более чем узкое применение, и поэтому был назван sendsyslog(2), и при этом он также подходит для специфических условий, таких как использование "песочницы".
В этом плане, ситуация схожа с тем, как getentropy(2) была вынесена из sysctl. Забавно, как одно приводит к другому.
>> Читать далее
# Re: g2k14: Marc Espie on ports and packages
51t (lenina,1) → zhuk@ – 15:26:18 2014-08-04
> Эм. Пока у тебя есть запись вида "*.51t.ru. IN A 149.210.140.35", я ничего не смогу сделать... Если только я не тупой, и трюк вида "ipv6.51t.ru является отдельной зоной" каким-то волшебным образом не сработает.
ну сделай сейчас ресолв ipv6.51t.ru :) я прописал туда левые NS-записи, и A-запись уже не срабатывает :)
51t (lenina,1) → zhuk@ – 15:26:18 2014-08-04
> Эм. Пока у тебя есть запись вида "*.51t.ru. IN A 149.210.140.35", я ничего не смогу сделать... Если только я не тупой, и трюк вида "ipv6.51t.ru является отдельной зоной" каким-то волшебным образом не сработает.
ну сделай сейчас ресолв ipv6.51t.ru :) я прописал туда левые NS-записи, и A-запись уже не срабатывает :)
# Re: g2k14: Marc Espie on ports and packages
zhuk@ (lenina,131) → 51t – 15:24:08 2014-08-04
> ты можешь сделать DNS, чтобы на любой адрес ipv6.51t.ru отдавала ipv6-адрес и только его? я ns пропишу.
Эм. Пока у тебя есть запись вида "*.51t.ru. IN A 149.210.140.35", я ничего не смогу сделать... Если только я не тупой, и трюк вида "ipv6.51t.ru является отдельной зоной" каким-то волшебным образом не сработает.
> допереведи два предложения от тео
Ой, а я так и не отправил, значит... Ща.
zhuk@ (lenina,131) → 51t – 15:24:08 2014-08-04
> ты можешь сделать DNS, чтобы на любой адрес ipv6.51t.ru отдавала ipv6-адрес и только его? я ns пропишу.
Эм. Пока у тебя есть запись вида "*.51t.ru. IN A 149.210.140.35", я ничего не смогу сделать... Если только я не тупой, и трюк вида "ipv6.51t.ru является отдельной зоной" каким-то волшебным образом не сработает.
> допереведи два предложения от тео
Ой, а я так и не отправил, значит... Ща.