Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Иван Лох 
On Mon, Sep 05, 2016 at 08:18:00PM +0300, Oleksandr Gavenko wrote:
> On 2016-09-05, Иван Лох wrote:
> 
> > В системе i386 и ядром amd64 уже ставится и работает?
> 
> Чем такая конфигурация привлекательна?

Экономией памяти. Если у меня в точности одно приложение должно
запускаться в 64-разрядной моде, то я его в ней и запускаю.

Но независимо от того чем эта конфигурация привлекательна, она штатная
и kvm работает из коробки, также как и другие программы. В отличии
от VirtualBox.

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Михаил Касаджиков 
05.09.2016 23:25, Hleb Valoshka пишет:
> On 9/5/16, Михаил Касаджиков  wrote:
>>> VirtualBox не запустится пока не выгрузить kvm.ko и наоборот с vboxdrv.ko
>>
>> Прекрасно работают одновременно и KVM и VirtualBox:
>> $ lsmod | grep -e ^kvm -e ^vbox
>> vboxpci24576  0
>> vboxnetadp 28672  0
>> vboxnetflt 28672  0
>> vboxdrv   450560  3 vboxnetadp,vboxnetflt,vboxpci
>> kvm_amd61440  0
>> kvm   565248  1 kvm_amd
> 
> Модули в ядре уживаются, но qemu с ускорением не запустишь, если
> запущена виртуалка VirtualBox.

Хм. Действительно, либо KVM, либо VirtualBox. Давно я тут KVM не запускал, как 
перенёс все мини серверы на отдельный комп.
Прошу прощения за дезинформацию.

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Hleb Valoshka 
On 9/5/16, Михаил Касаджиков  wrote:
>> VirtualBox не запустится пока не выгрузить kvm.ko и наоборот с vboxdrv.ko
>
> Прекрасно работают одновременно и KVM и VirtualBox:
> $ lsmod | grep -e ^kvm -e ^vbox
> vboxpci24576  0
> vboxnetadp 28672  0
> vboxnetflt 28672  0
> vboxdrv   450560  3 vboxnetadp,vboxnetflt,vboxpci
> kvm_amd61440  0
> kvm   565248  1 kvm_amd

Модули в ядре уживаются, но qemu с ускорением не запустишь, если
запущена виртуалка VirtualBox.

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Михаил Касаджиков 
05.09.2016 20:38, Victor Wagner пишет:
 вила трансляции. Так что пока лишь диагноз
 "голова и руки".  
>>>
>>> Не очевидно. Лично мне очевидно что с хоста, который является
>>> nat-ящим роутером между внутренней сетью и внешней, внутренняя сеть
>>> должна быть просто ВИДНА. Соотвественно ничего пробрасывать не
>>> должно быть нужно. Оно должно просто по умолчанию быть доступно.  
>>
>>  У виртуалбокса несколько типов подключения к сети, включая NAT,
>> бридж, встроенный адаптер хоста, внутренняя сеть и что-то там ещё. А
>> всё потому, что разные люди хотят реализовать виртуалками разные
> 
> Вот я про то же, что у виртуал бокса несколько жестко прибитых гвоздями
> способов подключения к сети, а не возможность собрать из кубиков то,
> что надо.
> 
>> модели реальности. Кто-то хочет, чтобы сетевой адаптер виртуальной
> 
> Естественно, среди этих моделей реальности нет той, которая наиболее
> удобна нормальным людям, умеющим думать и желающим понимать.
> Проприетарная софтина,  пусть и выпущенная под номинально открытой
> лицензией - она отучает людей думать.

Как раз модель «на хосте с виртуалками есть своя виртуальная сеть для них со 
своим DHCP и DNS» есть и прекрасно работает. Называется «Тип подключения; 
сетевой мост».
# brctl show lxcbr0
bridge name bridge id   STP enabled interfaces
lxcbr0  8000.fefe43a96481   no  veth16AORX

# ip -4 addr show dev lxcbr0
6: lxcbr0:  mtu 1500 qdisc noqueue state UP 
group default qlen 1000
inet 10.10.13.1/24 scope global lxcbr0
   valid_lft forever preferred_lft forever

# netstat -lnup | grep 10.10.13.1:53
udp0  0 10.10.13.1:53   0.0.0.0:*   
3113/dnsmasq

И вот так добавлен домен с виртуалками в общий DNS на компе:

# cat /etc/dnsmasq.d/lxc
server=/lxc/10.10.13.1

И всё прекрасно работает и для QEMU, и для VirtualBox, и для LXC. Одновременно. 
Не вижу никакой сложности при использовании VireualBox с произвольной 
конфигурацией сети.

>>  Так что не надо религиозных войн, и не надо выдавать частные неудачи
>>  в конфигурации сети за глобальные проблемы программного интерфейса.
> 
> Нет, вот именно что надо религиозных войн. Потому что религозные войны
> они за свободу. За право самому определять то что тебе удобно, а что
> нет. 

Если бы религиозные войны, что компьютерные, что мировые приводили не к смерти 
и разрушениям, а к чему-то созидательному — на здоровье. Но глядя на 
исторический опыт — в топку!

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Eugene Berdnikov 
On Mon, Sep 05, 2016 at 08:38:02PM +0300, Victor Wagner wrote:
> On Mon, 5 Sep 2016 17:03:32 +0300
> Eugene Berdnikov  wrote:
> 
> вила трансляции. Так что пока лишь диагноз
> > > > "голова и руки".  
> > > 
> > > Не очевидно. Лично мне очевидно что с хоста, который является
> > > nat-ящим роутером между внутренней сетью и внешней, внутренняя сеть
> > > должна быть просто ВИДНА. Соотвественно ничего пробрасывать не
> > > должно быть нужно. Оно должно просто по умолчанию быть доступно.  
> > 
> >  У виртуалбокса несколько типов подключения к сети, включая NAT,
> > бридж, встроенный адаптер хоста, внутренняя сеть и что-то там ещё. А
> > всё потому, что разные люди хотят реализовать виртуалками разные
> 
> Вот я про то же, что у виртуал бокса несколько жестко прибитых гвоздями
> способов подключения к сети, а не возможность собрать из кубиков то,
> что надо.

 Нет, неправда.

> > модели реальности. Кто-то хочет, чтобы сетевой адаптер виртуальной
> 
> Естественно, среди этих моделей реальности нет той, которая наиболее
> удобна нормальным людям, умеющим думать и желающим понимать.

 Ваша "любимая" модель (сеть, присоединённая через адаптер к хост-системе)
 там есть. Вы, наверное, её не нашли, так плохо искали. Меню всего из пятка
 типов подключений к сети. Впрочем, для человека, априори уверенного в
 наличии одного единственно правильного решения, которое непременно должно
 быть всенародно любимым правильными гражданами (как во времена СССР),
 пяток это слишком много, конечно.
-- 
 Eugene Berdnikov

[DONE] wml://security/2011/dsa-2{337,190}.wml

2016-09-05 Пенетрантность Lev Lamberov 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2011/dsa-2190.wml2014-04-30 13:16:24.0 
+0600
+++ russian/security/2011/dsa-2190.wml  2016-09-05 23:07:48.865226457 +0500
@@ -1,38 +1,39 @@
- -several vulnerabilities
+#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
+несколько уязвимостей
 
 
- -Two XSS bugs and one potential information disclosure issue were 
discovered
- -in WordPress, a weblog manager.
- -The Common Vulnerabilities and Exposures project identifies the
- -following problems:
+Две XSS-ошибки и одна потенциальная 
проблема с раскрытием информации были 
обнаружены
+в WordPress, менеджере блога.
+Проект Common Vulnerabilities and Exposures определяет
+следующие проблемы:
 
 
 
 https://security-tracker.debian.org/tracker/CVE-2011-0700;>CVE-2011-0700
 
- -  Input passed via the post title when performing a Quick Edit or 
- -  Bulk Edit action and via the post_status, 
comment_status, 
- -  and ping_status parameters is not properly sanitised before being 
used.
- -  Certain input passed via tags in the tags meta-box is not properly 
sanitised
- -  before being returned to the user.
+  Входные данные, переданные через 
заголовок сообщения в момент выполнения 
действий Quick Edit или
+  Bulk Edit, а также через параметры 
post_status, comment_status
+  и ping_status, неправильно очищаются до 
момента их использования.
+  Определённые входные данные, переданные 
через теги в метаполе тегов, очищаются 
неправильно
+  до их возврата пользователю.
 
 https://security-tracker.debian.org/tracker/CVE-2011-0701;>CVE-2011-0701
 
- -  WordPress incorrectly enforces user access restrictions when accessing 
posts
- -  via the media uploader and can be exploited to disclose the contents
- -  of e.g. private or draft posts.
+  WordPress некорректно устанавливает 
пользовательские ограничения доступа при 
обращении к
+  сообщениям через загрузчик медиа, что 
может использоваться для раскрытия 
содержимого,
+  например, закрытых или черновых 
сообщений.
 
 
 
- -The oldstable distribution (lenny) is not affected by these problems.
+Предыдущий стабильный выпуск (lenny) не 
подвержен этим проблемам.
 
- -For the stable distribution (squeeze), these problems have been fixed in
- -version 3.0.5+dfsg-0+squeeze1.
+В стабильном выпуске (squeeze) эти проблемы 
были исправлены в
+версии 3.0.5+dfsg-0+squeeze1.
 
- -For the testing distribution (wheezy), and the unstable distribution 
(sid),
- -these problems have been fixed in version 3.0.5+dfsg-1.
+В тестируемом (wheezy) и нестабильном (sid) 
выпусках
+эти проблемы были исправлены в версии 
3.0.5+dfsg-1.
 
- -We recommend that you upgrade your wordpress packages.
+Рекомендуется обновить пакеты wordpress.
 
 
 # do not modify the following line
- --- english/security/2011/dsa-2337.wml2014-04-30 13:16:25.0 
+0600
+++ russian/security/2011/dsa-2337.wml  2016-09-05 23:00:34.293608103 +0500
@@ -1,37 +1,38 @@
- -several vulnerabilities
+#use wml::debian::translation-check translation="1.4" maintainer="Lev Lamberov"
+несколько уязвимостей
 
- -Several vulnerabilities were discovered in the Xen virtual machine
- -hypervisor.
+В Xen, гипервизоре виртуальных машин, было 
обнаружено несколько
+уязвимостей.
 
 
 
 https://security-tracker.debian.org/tracker/CVE-2011-1166;>CVE-2011-1166
 
- -  A 64-bit guest can get one of its vCPUs into non-kernel
- -  mode without first providing a valid non-kernel pagetable,
- -  thereby locking up the host system.
+  64-битные гостевые системы могут 
перевести один из своих виртуальных ЦП в 
не-ядерный
+  режим без предоставления корректной 
не-ядерной таблицы страниц,
+  что приводит к зависанию основной 
системы.
 
 https://security-tracker.debian.org/tracker/CVE-2011-1583;>CVE-2011-1583,
 https://security-tracker.debian.org/tracker/CVE-2011-3262;>CVE-2011-3262
 
- -  Local users can cause a denial of service and possibly execute
- -  arbitrary code via a crafted paravirtualised

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Vasiliy P. Melnik 
>
> Естественно, среди этих моделей реальности нет той, которая наиболее
> удобна нормальным людям, умеющим думать и желающим понимать.
> Проприетарная софтина,  пусть и выпущенная под номинально открытой
> лицензией - она отучает людей думать.
>

А где записывают в очередь не думающих? а то мне нравится виртуалбокс - мне
ка-то оно надо чтобы протестировать что-то, да и скорость работы
устраивает, а наличие интерфейса я таки считаю плюсом. И мне таки хватает
чем заниматься, кроме виртуалок.

Ну и плюс ко всему я предпочитаю айфон - не, у меня были и леново, и лыжа
не дешевая, только обратно вернулся на айфон. Свой старый 5S я таки за два
года добил, пришлось пойти и купить новый 5S, сейчас очень даже не дорого.

А еще я считаю самым удобным офисным пакетом все таки микрософт офис, хоть
сам и пользуюсь либрой

[DONE] wml://security/2011/dsa-2{262,148}.wml

2016-09-05 Пенетрантность Lev Lamberov 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2011/dsa-2148.wml2014-04-30 15:22:54.0 
+0600
+++ russian/security/2011/dsa-2148.wml  2016-09-05 22:53:36.949984894 +0500
@@ -1,30 +1,31 @@
- -several vulnerabilities
+#use wml::debian::translation-check translation="1.4" maintainer="Lev Lamberov"
+несколько уязвимостей
 
- -The developers of Tor, an anonymizing overlay network for TCP, found 
three 
- -security issues during a security audit. A heap overflow allowed the 
execution 
- -of arbitrary code 
- -(https://security-tracker.debian.org/tracker/CVE-2011-0427;>CVE-2011-0427),
 
- -a denial of service vulnerability was found in the zlib compression handling 
- -and some key memory was incorrectly zeroed out before being freed. The 
latter 
- -two issues do not yet have CVE identifiers assigned. The Debian Security
- -Tracker will be updated once they're available:
+Разработчики Tor, анонимизирующей сети, 
работающей поверх TCP, в ходе аудита
+безопасности было обнаружено три проблемы 
безопасности. Переполнение динамической 
памяти
+позволяет выполнять произвольный код
+(https://security-tracker.debian.org/tracker/CVE-2011-0427;>CVE-2011-0427),
+в коде обработки сжатия zlib был обнаружен 
отказ в обслуживании,
+также некоторая память ключей обнуляется 
некорректно до её освобождения. Две 
последние
+проблемы пока не получили идентификаторы 
CVE. Информация в системе отслеживания 
безопасности
+Debian будет обновлена по мере их доступности:
 https://security-tracker.debian.org/tracker/source-package/tor;>\
 https://security-tracker.debian.org/tracker/source-package/tor
 
- -For the stable distribution (lenny), this problem has been fixed in
- -version 0.2.1.29-1~lenny+1.
+В стабильном выпуске (lenny) эта проблема 
была исправлена в
+версии 0.2.1.29-1~lenny+1.
 
- -For the testing distribution (squeeze) and the unstable distribution 
(sid),
- -this problem has been fixed in version 0.2.1.29-1.
+В тестируемом (squeeze) и нестабильном (sid) 
выпусках
+эта проблема была исправлена в версии 
0.2.1.29-1.
 
- -For the experimental distribution, this problem has been fixed in
- -version 0.2.2.21-alpha-1.
+В экспериментальном выпуске эта 
проблема была исправлена в
+версии 0.2.2.21-alpha-1.
 
- -We recommend that you upgrade your tor packages.
+Рекомендуется обновить пакеты tor.
 
- -Further information about Debian Security Advisories, how to apply
- -these updates to your system and frequently asked questions can be
- -found at: https://www.debian.org/security/
+Дополнительная информация о 
рекомендациях Debian по безопасности, том, как 
применять
+эти обновления для вашей системы, а также 
часто задаваемые вопросы можно
+найти по адресу: https://www.debian.org/security/
 
 
 # do not modify the following line
- --- english/security/2011/dsa-2262.wml2011-06-16 07:02:39.0 
+0600
+++ russian/security/2011/dsa-2262.wml  2016-09-05 22:45:10.001785615 +0500
@@ -1,49 +1,50 @@
- -several vulnerabilities
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+несколько уязвимостей
 
- -Several cross-site scripting and information disclosure issues have
- -been fixed in Moodle, a course management system for online learning:
+В Moodle, системе управления курсами для 
онлайн-обучения, было исправлено
+несколько случаев межсайтового 
скриптинга и раскрытия информации:
 
 
 
 http://moodle.org/mod/forum/discuss.php?d=170002;>MSA-11-0002
 
- -Cross-site request forgery vulnerability in RSS block
+Подделка межсайтовых запросов в блоке RSS
 
 
 http://moodle.org/mod/forum/discuss.php?d=170003;>MSA-11-0003
 
- -Cross-site scripting vulnerability in tag autocomplete
+Межсайтовый скриптинг в автодополнении 
тегов
 
 
 http://moodle.org/mod/forum/discuss.php?d=170009;>MSA-11-0008
 
- -IMS enterprise enrolment file may disclose sensitive information
+Файл с записями об обучающихся IMS может 
раскрывать чувствительную информацию

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Victor Wagner 
On Mon, 5 Sep 2016 17:03:32 +0300
Eugene Berdnikov  wrote:

вила трансляции. Так что пока лишь диагноз
> > > "голова и руки".  
> > 
> > Не очевидно. Лично мне очевидно что с хоста, который является
> > nat-ящим роутером между внутренней сетью и внешней, внутренняя сеть
> > должна быть просто ВИДНА. Соотвественно ничего пробрасывать не
> > должно быть нужно. Оно должно просто по умолчанию быть доступно.  
> 
>  У виртуалбокса несколько типов подключения к сети, включая NAT,
> бридж, встроенный адаптер хоста, внутренняя сеть и что-то там ещё. А
> всё потому, что разные люди хотят реализовать виртуалками разные

Вот я про то же, что у виртуал бокса несколько жестко прибитых гвоздями
способов подключения к сети, а не возможность собрать из кубиков то,
что надо.

> модели реальности. Кто-то хочет, чтобы сетевой адаптер виртуальной

Естественно, среди этих моделей реальности нет той, которая наиболее
удобна нормальным людям, умеющим думать и желающим понимать.
Проприетарная софтина,  пусть и выпущенная под номинально открытой
лицензией - она отучает людей думать.


> 
>  Так что не надо религиозных войн, и не надо выдавать частные неудачи
>  в конфигурации сети за глобальные проблемы программного интерфейса.

Нет, вот именно что надо религиозных войн. Потому что религозные войны
они за свободу. За право самому определять то что тебе удобно, а что
нет. 

Для тех, кто склонен  в этом плане доверять вендору софта, есть iPhone
и iPad. Им нечего делать за клавиатурой универсального компьютера.

Собственнно это продолжение той же войны в которой людьми против зомби
уже было проиграно сражение за систему инициализации.

Кстати, в процессе дискуссии на эту тему где-то в devel прозвучало

"Debian is not about choice". Ты действительно этого хочешь? Чтобы не
было выбора и надо было использовать то, что решили голосованием?

-- 
   Victor Wagner

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Victor Wagner 
On Mon, 05 Sep 2016 20:18:00 +0300
Oleksandr Gavenko  wrote:

> On 2016-09-05, Иван Лох wrote:
> 
> > В системе i386 и ядром amd64 уже ставится и работает?  
> 
> Чем такая конфигурация привлекательна?
> 
> Вендоры не поставляют 32-bit драйверов и хочется сэкономить на RAM в
> офисных компьютерах?
> 

Дебиан не предоставляет процедуры crossgrade с i386 на amd64 с
сохранением всей конфигурациии системы.



-- 
   Victor Wagner

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Vasiliy P. Melnik 
5 сентября 2016 г., 20:18 пользователь Oleksandr Gavenko  написал:

> On 2016-09-05, Иван Лох wrote:
>
> > В системе i386 и ядром amd64 уже ставится и работает?
>
> Чем такая конфигурация привлекательна?
>
> Вендоры не поставляют 32-bit драйверов и хочется сэкономить на RAM в
> офисных
> компьютерах?
>

Уже больше года новые офисные компы комплектую минимум 8 гигами оперативки.
Все что меньше - это не память, это уже склероз.

Re: [DONE] wml://security/2005/dsa-{771,715,918}.wml

2016-09-05 Пенетрантность Lev Lamberov 
05.09.2016 15:37, Andrey Skvortsov пишет:
> On 26 Aug, Lev Lamberov wrote:
>> +использование метода доступа pserver вмесьте с заплатой repouid,
> вмеСТе
>
>> +безопасности проблем.  Проект Common Vulnerabilities and Exposures
> безопасностЬЮ

Исправил. Спасибо!


signature.asc
Description: OpenPGP digital signature

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Vasiliy P. Melnik 
- Хаим, я слышал вы выиграли миллион в лотерею! Это правда?
- Не совсем.
- Что значит не совсем?
- Ну во-первых не миллион, а тысячу. Во-вторых, не в лотерею, а в карты. И
в третьих, не выиграл, а проиграл.

Re: [DONE] wml://security/2005/dsa-{666,893,756}.wml

2016-09-05 Пенетрантность Lev Lamberov 
05.09.2016 15:33, Andrey Skvortsov пишет:
> On 26 Aug, Lev Lamberov wrote:
>> +элементах консолей из-за неправильного проверки и фильтрации параметров.
> неправильноЙ

Исправил. Спасибо!


signature.asc
Description: OpenPGP digital signature

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Oleksandr Gavenko 
On 2016-09-05, Иван Лох wrote:

> В системе i386 и ядром amd64 уже ставится и работает?

Чем такая конфигурация привлекательна?

Вендоры не поставляют 32-bit драйверов и хочется сэкономить на RAM в офисных
компьютерах?

-- 
http://defun.work/

Re: [DONE] wml://security/2005/dsa-{760,652,662}.wml

2016-09-05 Пенетрантность Lev Lamberov 
05.09.2016 15:03, Andrey Skvortsov пишет:
> On 29 Aug, Lev Lamberov wrote:
>> +использовать локальными злоумышленниками.
> использоватьСЯ

Исправил. Спасибо!


signature.asc
Description: OpenPGP digital signature

Re: [DONE] wml://security/2008/dsa-1{592,645,515}.wml

2016-09-05 Пенетрантность Lev Lamberov 
05.09.2016 14:53, Andrey Skvortsov пишет:
> On 31 Aug, Lev Lamberov wrote:
>> +удалённым злоумышленниками для вызова чрезмерного потребления памяти 
>> lighttpd и
> удалённымИ
>
>> +доступным ресурсы, не предназначенные для открытия.
> доступнымИ

Исправил. Спасибо!


signature.asc
Description: OpenPGP digital signature

Re: [DONE] wml://security/2006/dsa-1{239,085,033}.wml

2016-09-05 Пенетрантность Lev Lamberov 
05.09.2016 14:16, Andrey Skvortsov пишет:
> On 03 Sep, Lev Lamberov wrote:
>> +В "share edit window" было обнаружено несколько случае межсайтового
> случаеВ
>
>
>> +В SQL Ledger, программы для ведения двойной бухгалтерии на основе веб, 
>> было обнаружено
> программЕ

Исправил. Спасибо!


signature.asc
Description: OpenPGP digital signature

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Oleksandr Gavenko 
On 2016-09-05, Михаил Касаджиков wrote:

>> VirtualBox не запустится пока не выгрузить kvm.ko и наоборот с vboxdrv.ko
>
> Прекрасно работают одновременно и KVM и VirtualBox:
> $ lsmod | grep -e ^kvm -e ^vbox
> vboxpci24576  0
> vboxnetadp 28672  0
> vboxnetflt 28672  0
> vboxdrv   450560  3 vboxnetadp,vboxnetflt,vboxpci
> kvm_amd61440  0
> kvm   565248  1 kvm_amd

Я сделал коственный вывод, KVM ускорение Android эмулятора конфликтует с
VirtualBox. Модули то загружаются, но конкретно ругались приложения:

  $ emulator-x86 -avd $NAME -qemu -m 512 -enable-kvm
  $ virtualbox

У меня было как в:

  
http://stackoverflow.com/questions/16168799/android-emulator-and-virtualbox-cannot-run-at-same-time

Правда официальный Android эмулятор у меня жутко тупил, я использовал freeware
Genymotion, который основан на VirtualBox ))

-- 
http://defun.work/

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Михаил Касаджиков 
05.09.2016 00:27, Oleksandr Gavenko пишет:
> On 2016-09-04, Victor Wagner wrote:
>> Eugene Berdnikov  wrote:
 Лучше взять KVM, а не virtual box.   
>>>
>>>  Чем лучше? Неужто в virtualbox резолвер криво работает? :)
>>
>> 1. Не нужно дополннительных модулей в ядро.
> 
> bash# lsmod | grep kvm
> 63:kvm_intel 184320  0
> 64:kvm   552960  1 kvm_intel
> 
> VirtualBox не запустится пока не выгрузить kvm.ko и наоборот с vboxdrv.ko

Прекрасно работают одновременно и KVM и VirtualBox:
$ lsmod | grep -e ^kvm -e ^vbox
vboxpci24576  0
vboxnetadp 28672  0
vboxnetflt 28672  0
vboxdrv   450560  3 vboxnetadp,vboxnetflt,vboxpci
kvm_amd61440  0
kvm   565248  1 kvm_amd

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Eugene Berdnikov 
On Mon, Sep 05, 2016 at 01:27:52PM +0300, Victor Wagner wrote:
> On Mon, 5 Sep 2016 12:50:23 +0300
> Eugene Berdnikov  wrote:
> 
> > > Ну то есть  ситуация "видеть я эту консоль не хочу,
> > > пустите меня по SSH и HTTP, но лишних внешних IP у меня нет".  
> > 
> >  Очевидно, в гостевую сеть нужно пробрасывть ssh и http, а снаружи
> >  должны быть видны имена (что можно сделать пробросом dns внутрь или
> >  приёмом апдейтов изнутри, через nat, внешним dns'ом). Если nat был
> >  встроенный виртуалбоксовый, неудивительно, что ничего не получилось,
> >  потому как проброс внутрь это уже не nat (во всяком случае не то,
> >  что называется "nat'ом" в виртуалбоксе), а дополнительные правила
> >  трансляции. Так что пока лишь диагноз "голова и руки".
> 
> Не очевидно. Лично мне очевидно что с хоста, который является
> nat-ящим роутером между внутренней сетью и внешней, внутренняя сеть
> должна быть просто ВИДНА. Соотвественно ничего пробрасывать не должно
> быть нужно. Оно должно просто по умолчанию быть доступно.

 У виртуалбокса несколько типов подключения к сети, включая NAT, бридж,
 встроенный адаптер хоста, внутренняя сеть и что-то там ещё. А всё потому,
 что разные люди хотят реализовать виртуалками разные модели реальности.
 Кто-то хочет, чтобы сетевой адаптер виртуальной машины "торчал" прямо
 в корпоративный LAN, а все промежуточные бриджи, хост-системы и прочая
 муть -- для него лишние слои абстраций. Кто-то же хочет, чтобы система
 виртуализации сама делала nat, а конфигурить iptables на хост-системе
 ему нафиг не сдалось. Вы же хотите такую модель, где гость подсоединён
 к некоей виртуальной сети, и эта сеть через виртуальный адаптер заходит
 на хост-систему. ОК. Все модели хороши и имеют право на жизнь, и все
 в виртуалбоксе более-менее нормально работают. В частности, родной
 для vb тип подключения NAT содержит стандартную для шлюзов функцию
 проброса портов во внутреннюю сеть.

 Так что не надо религиозных войн, и не надо выдавать частные неудачи
 в конфигурации сети за глобальные проблемы программного интерфейса.
-- 
 Eugene Berdnikov

Re: [DONE] wml://security/2005/dsa-{771,715,918}.wml

2016-09-05 Пенетрантность Andrey Skvortsov 
On 26 Aug, Lev Lamberov wrote:
> - --- english/security/2005/dsa-715.wml   2006-12-06 19:23:28.0 
> +0500
> +++ russian/security/2005/dsa-715.wml 2016-08-26 13:01:55.856068615 +0500
> @@ -1,34 +1,35 @@

>   href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1342;>CAN-2004-1342
>  
> - -Maks Polunin and Alberto Garcia discovered independently that
> - -using the pserver access method in connection with the repouid
> - -patch that Debian uses it is possible to bypass the password and
> - -gain access to the repository in question.
> +Макс Полунин и Альберто Гарсиа независимо обнаружили, что
> +использование метода доступа pserver вмесьте с заплатой repouid,
вмеСТе

> +используемой в Debian, позволяет обходить проверку пароля и
> +получать доступ к данному репозиторию.
>  

> - --- english/security/2005/dsa-918.wml   2005-12-09 18:46:15.0 
> +0500
> +++ russian/security/2005/dsa-918.wml 2016-08-26 13:10:54.220629962 +0500
> @@ -1,35 +1,36 @@
> - -programming error
> +#use wml::debian::translation-check translation="1.2" maintainer="Lev 
> Lamberov"
> +ошибка программирования
>  
> - -Several security related problems have been discovered in osh, the
> - -operator's shell for executing defined programs in a privileged
> - -environment.  The Common Vulnerabilities and Exposures project
> - -identifies the following vulnerabilities:
> +В osh, командной строке оператора для выполнения определённых программ
> +в привилегированном окружении, было обнаружено несколько связанных с
> +безопасности проблем.  Проект Common Vulnerabilities and Exposures
безопасностЬЮ


-- 
Best regards,
Andrey Skvortsov


signature.asc
Description: PGP signature

Re: [DONE] wml://security/2005/dsa-{666,893,756}.wml

2016-09-05 Пенетрантность Andrey Skvortsov 
On 26 Aug, Lev Lamberov wrote:
> - --- english/security/2005/dsa-893.wml   2005-11-14 17:02:29.0 
> +0500
> +++ russian/security/2005/dsa-893.wml 2016-08-26 13:20:06.744507955 +0500
> @@ -1,29 +1,30 @@
> - -missing input sanitising
> +#use wml::debian::translation-check translation="1.2" maintainer="Lev 
> Lamberov"
> +отсутствие очистки входных данных
>  
> - -Remco Verhoef has discovered a vulnerability in acidlab, Analysis
> - -Console for Intrusion Databases, and in acidbase, Basic Analysis and
> - -Security Engine, which can be exploited by malicious users to conduct
> - -SQL injection attacks.
> - -
> - -The maintainers of Analysis Console for Intrusion Databases (ACID) in 
> Debian,
> - -of which BASE is a fork off, after a security audit of both BASE and ACID
> - -have determined that the flaw found not only affected the 
> base_qry_main.php (in
> - -BASE) or acid_qry_main.php (in ACID) component but was also found in other
> - -elements of the consoles due to improper parameter validation and 
> filtering.
> - -
> - -All the SQL injection bugs and Cross Site Scripting bugs found have been
> - -fixed in the Debian package, closing all the different attack vectors 
> detected.
> - -
> - -For the old stable distribution (woody) this problem has been fixed in
> - -version 0.9.6b20-2.1.
> +Ремко Вкрхоф обнаружил уязвимости в acidlab, Analysis
> +Console for Intrusion Databases, и в acidbase, Basic Analysis and
> +Security Engine, которые могут использоваться злоумышленниками для выполнения
> +SQL-инъекций.
> +
> +Сопровождающие Analysis Console for Intrusion Databases (ACID) в Debian,
> +ответвление которого является BASE, после аудита безопасности BASE и ACID
> +определили, что эта уязвимость касается не только компонентов 
> base_qry_main.php (в
> +BASE) или acid_qry_main.php (в ACID), но присутствует и в других
> +элементах консолей из-за неправильного проверки и фильтрации параметров.
неправильноЙ


-- 
Best regards,
Andrey Skvortsov


signature.asc
Description: PGP signature

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Victor Wagner 
On Mon, 5 Sep 2016 12:50:23 +0300
Eugene Berdnikov  wrote:


> > Ну то есть  ситуация "видеть я эту консоль не хочу,
> > пустите меня по SSH и HTTP, но лишних внешних IP у меня нет".  
> 
>  Очевидно, в гостевую сеть нужно пробрасывть ssh и http, а снаружи
>  должны быть видны имена (что можно сделать пробросом dns внутрь или
>  приёмом апдейтов изнутри, через nat, внешним dns'ом). Если nat был
>  встроенный виртуалбоксовый, неудивительно, что ничего не получилось,
>  потому как проброс внутрь это уже не nat (во всяком случае не то,
>  что называется "nat'ом" в виртуалбоксе), а дополнительные правила
>  трансляции. Так что пока лишь диагноз "голова и руки".

Не очевидно. Лично мне очевидно что с хоста, который является
nat-ящим роутером между внутренней сетью и внешней, внутренняя сеть
должна быть просто ВИДНА. Соотвественно ничего пробрасывать не должно
быть нужно. Оно должно просто по умолчанию быть доступно. А создание
внутреней сети, которая по умолчанию не доступна с хоста должно
требовать если не плясок с бубном, то осознанного решения "я хочу,
чтобы эта сеть не была доступна".

Вопрос о взаимодействии между dhcp-сервером внутренней сети и
dns резолвером хоста - он несколько более интересный. Мой вариант -
когда на хосте есть один общий dhcp-сервер для всех внутренних сетей, и
он же является локальным dns-сервером, поэтому сервит заодно и адресат
хостов из внутренних сетей, может кому-то не понравится.




> > А написать обертку вокруг голого kvm которая делает то что надо в
> > нужных мне случаях, но при этом не мешает лезть грязными лапами в
> > командную строку kvm или в его монитор у меня заняло 500 строк на
> > питоне.  
> 
>  Да, это офигенно быстро и просто, надо всем чайникам рекомендовать.

Теперь можно. Потому что я ее уже написал. И желающие могут скачать и
использовать. Но вообще-то чайникам я могу порекомендовать только
"мышки, станьте ежиками". То есть если либо переставай быть чайником,
либо универсальный компьютер не для тебя, купи себе айфон.

Re: [DONE] wml://security/2005/dsa-{760,652,662}.wml

2016-09-05 Пенетрантность Andrey Skvortsov 
On 29 Aug, Lev Lamberov wrote:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
> - --- english/security/2005/dsa-760.wml   2005-07-18 23:36:13.0 
> +0600
> +++ russian/security/2005/dsa-760.wml 2016-08-29 12:40:18.803426528 +0500
> @@ -1,38 +1,39 @@

>   href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1916;>CAN-2005-1916
>  
> - -Eric Romang discovered insecure temporary file creation and
> - -arbitrary command execution in a contributed script that can be
> - -exploited by a local attacker.
> +Эрик Роман обнаружил небезопасное создание временного файла и
> +выполнение произвольной команды в сопутствующем сценарии, которые могут
> +использовать локальными злоумышленниками.
использоватьСЯ


-- 
Best regards,
Andrey Skvortsov


signature.asc
Description: PGP signature

Re: [DONE] wml://security/2008/dsa-1{592,645,515}.wml

2016-09-05 Пенетрантность Andrey Skvortsov 
On 31 Aug, Lev Lamberov wrote:
> - --- english/security/2008/dsa-1645.wml  2014-04-30 13:16:16.0 
> +0600
> +++ russian/security/2008/dsa-1645.wml2016-08-31 21:13:42.915778813 
> +0500
> @@ -1,36 +1,37 @@

>   href="https://security-tracker.debian.org/tracker/CVE-2008-4298;>CVE-2008-4298
> - -A memory leak in the http_request_parse function could be used by
> - -remote attackers to cause lighttpd to consume memory, and cause a
> - -denial of service attack.
> +Утечка памяти в функции http_request_parse может использоваться
> +удалённым злоумышленниками для вызова чрезмерного потребления памяти 
> lighttpd и
удалённымИ

> +отказа в обслуживании.
>  
>   href="https://security-tracker.debian.org/tracker/CVE-2008-4359;>CVE-2008-4359
> - -Inconsistant handling of URL patterns could lead to the disclosure
> - -of resources a server administrator did not anticipate when using
> - -rewritten URLs.
> - -
> +Непоследовательная обработка шаблонов URL может приводить к раскрытию
> +ресурсов, которое не ожидается системным администратором при 
> использовании
> +перезаписанных URL.
> +
>   href="https://security-tracker.debian.org/tracker/CVE-2008-4360;>CVE-2008-4360
> - -Upon filesystems which don't handle case-insensitive paths 
> differently
> - -it might be possible that unanticipated resources could be made 
> available
> - -by mod_userdir.
> +При использовании файловых систем, которые не обрабатывают 
> независящие от регистра
> +пути другим способом, с помощью mod_userdir можно сделать
> +доступным ресурсы, не предназначенные для открытия.
доступнымИ


-- 
Best regards,
Andrey Skvortsov


signature.asc
Description: PGP signature

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Eugene Berdnikov 
On Mon, Sep 05, 2016 at 07:50:16AM +0300, Victor Wagner wrote:
> On Sun, 4 Sep 2016 17:37:25 +0300
> Eugene Berdnikov  wrote:
> 
> > > 2. Куда гибче и проще конфигурация сети. В VirtualBox попытались
> > > создать интерфейс для чайников, в результате получилось шаг вправо,
> > > шаг влево считается побег.  
> > 
> >  Приведите пример шага вправо и пример шагa влево, за которые
> > интерфейс виртуалбокса стреляет в юзера.
> 
> Помнится, у меня были проблемы с какой-то совершенно тривиальной на мой
> взгляд конфигурацией. Вроде виртуальной сети, которая
> NAT-ится во внешний мир, а внутри виртуалкам раздают адреса по DHCP, и
> потом можно с хост-системы ходить на эти виртуалки, используя их
> hostname в качестве DNS имен.
> 
> Ну то есть  ситуация "видеть я эту консоль не хочу,
> пустите меня по SSH и HTTP, но лишних внешних IP у меня нет".

 Очевидно, в гостевую сеть нужно пробрасывть ssh и http, а снаружи
 должны быть видны имена (что можно сделать пробросом dns внутрь или
 приёмом апдейтов изнутри, через nat, внешним dns'ом). Если nat был
 встроенный виртуалбоксовый, неудивительно, что ничего не получилось,
 потому как проброс внутрь это уже не nat (во всяком случае не то,
 что называется "nat'ом" в виртуалбоксе), а дополнительные правила
 трансляции. Так что пока лишь диагноз "голова и руки".

> > > 3. Конфигурация всего остального у kvm тоже гибче, хотя это не
> > > слишком актуально для задачи тестирования DNS. Но может потом
> > > захочется еще чего потестировать. (а к тому времени в KVM уже и
> > > 3d-графика будет)  
> > 
> >  Человеку нужно было не гибче, а побыстрее и попроще.
> >  И вот тут-то kvm натурально сосёт.
> 
> Человеку нужно "чтобы решало его задачу". В этом сосут все изделия
> Oracle. 

 Не надо экстремизма и передёргиваний на ровном месте. Виртуалбокс
 это изделие Сана, а не Оракла. Ораклу достались лишь права на него.

 А задачу "побыстрее и попроще" решает таки виртуалбокс, а не kvm.

> А написать обертку вокруг голого kvm которая делает то что надо в
> нужных мне случаях, но при этом не мешает лезть грязными лапами в
> командную строку kvm или в его монитор у меня заняло 500 строк на
> питоне.

 Да, это офигенно быстро и просто, надо всем чайникам рекомендовать.
-- 
 Eugene Berdnikov

Re: [DONE] wml://security/2006/dsa-1{239,085,033}.wml

2016-09-05 Пенетрантность Andrey Skvortsov 
On 03 Sep, Lev Lamberov wrote:
> - --- english/security/2006/dsa-1033.wml  2014-04-30 13:16:09.0 
> +0600
> +++ russian/security/2006/dsa-1033.wml2016-09-03 12:26:33.998750080 
> +0500
> @@ -1,39 +1,40 @@
> - -several vulnerabilities
> +#use wml::debian::translation-check translation="1.4" maintainer="Lev 
> Lamberov"
> +несколько уязвимостей
>  
> - -Several remote vulnerabilities have been discovered in the Horde web
> - -application framework, which may lead to the execution of arbitrary 
> - -web script code. The Common Vulnerabilities and Exposures project
> - -identifies the following problems:
> +В Horde, инфраструктуре веб-приложений, было обнаружено несколько 
> удалённых
> +уязвимостей, которые могут приводить к выполнению произвольного
> +веб-сценария. Проект Common Vulnerabilities and Exposures
> +определяет следующие проблемы:
>  
>  
>  
>   href="https://security-tracker.debian.org/tracker/CVE-2005-4190;>CVE-2005-4190
>  
> - -Several Cross-Site-Scripting vulnerabilities have been discovered in
> - -the "share edit window".
> +В "share edit window" было обнаружено несколько случае межсайтового
случаеВ

> +скриптинга .
>  


> - --- english/security/2006/dsa-1239.wml  2014-04-30 13:16:10.0 
> +0600
> +++ russian/security/2006/dsa-1239.wml2016-09-03 12:17:54.097387037 
> +0500
> @@ -1,39 +1,40 @@
> - -several vulnerabilities
> +#use wml::debian::translation-check translation="1.3" maintainer="Lev 
> Lamberov"
> +несколько уязвимостей
>  
> - -Several remote vulnerabilities have been discovered in SQL Ledger, a web
> - -based double-entry accounting program, which may lead to the execution
> - -of arbitrary code. The Common Vulnerabilities and Exposures project
> - -identifies the following problems:
> +В SQL Ledger, программы для ведения двойной бухгалтерии на основе веб, 
> было обнаружено
программЕ

> +несколько удалённых уязвимостей, которые могут приводить к выполнению
> +произвольного кода. Проект Common Vulnerabilities and Exposures
> +определяет следующие проблемы:
>  


-- 
Best regards,
Andrey Skvortsov


signature.asc
Description: PGP signature

Re: Тестирование DNS в lxc контейнере.

2016-09-05 Пенетрантность Иван Лох 
On Sun, Sep 04, 2016 at 05:37:25PM +0300, Eugene Berdnikov wrote:
> On Sun, Sep 04, 2016 at 08:39:57AM +0300, Victor Wagner wrote:
> > On Sat, 3 Sep 2016 21:34:36 +0300
> > Eugene Berdnikov  wrote:
> > > > 
> > > > Лучше взять KVM, а не virtual box.   
> > > 
> > >  Чем лучше? Неужто в virtualbox резолвер криво работает? :)
> > 
> > 1. Не нужно дополннительных модулей в ядро.
> 
>  Это забота пакетного менеджера.

В системе i386 и ядром amd64 уже ставится и работает?