Re: Тестирование DNS в lxc контейнере.
On Mon, Sep 05, 2016 at 08:18:00PM +0300, Oleksandr Gavenko wrote: > On 2016-09-05, Иван Лох wrote: > > > В системе i386 и ядром amd64 уже ставится и работает? > > Чем такая конфигурация привлекательна? Экономией памяти. Если у меня в точности одно приложение должно запускаться в 64-разрядной моде, то я его в ней и запускаю. Но независимо от того чем эта конфигурация привлекательна, она штатная и kvm работает из коробки, также как и другие программы. В отличии от VirtualBox.
Re: Тестирование DNS в lxc контейнере.
05.09.2016 23:25, Hleb Valoshka пишет: > On 9/5/16, Михаил Касаджиковwrote: >>> VirtualBox не запустится пока не выгрузить kvm.ko и наоборот с vboxdrv.ko >> >> Прекрасно работают одновременно и KVM и VirtualBox: >> $ lsmod | grep -e ^kvm -e ^vbox >> vboxpci24576 0 >> vboxnetadp 28672 0 >> vboxnetflt 28672 0 >> vboxdrv 450560 3 vboxnetadp,vboxnetflt,vboxpci >> kvm_amd61440 0 >> kvm 565248 1 kvm_amd > > Модули в ядре уживаются, но qemu с ускорением не запустишь, если > запущена виртуалка VirtualBox. Хм. Действительно, либо KVM, либо VirtualBox. Давно я тут KVM не запускал, как перенёс все мини серверы на отдельный комп. Прошу прощения за дезинформацию.
Re: Тестирование DNS в lxc контейнере.
On 9/5/16, Михаил Касаджиковwrote: >> VirtualBox не запустится пока не выгрузить kvm.ko и наоборот с vboxdrv.ko > > Прекрасно работают одновременно и KVM и VirtualBox: > $ lsmod | grep -e ^kvm -e ^vbox > vboxpci24576 0 > vboxnetadp 28672 0 > vboxnetflt 28672 0 > vboxdrv 450560 3 vboxnetadp,vboxnetflt,vboxpci > kvm_amd61440 0 > kvm 565248 1 kvm_amd Модули в ядре уживаются, но qemu с ускорением не запустишь, если запущена виртуалка VirtualBox.
Re: Тестирование DNS в lxc контейнере.
05.09.2016 20:38, Victor Wagner пишет: вила трансляции. Так что пока лишь диагноз "голова и руки". >>> >>> Не очевидно. Лично мне очевидно что с хоста, который является >>> nat-ящим роутером между внутренней сетью и внешней, внутренняя сеть >>> должна быть просто ВИДНА. Соотвественно ничего пробрасывать не >>> должно быть нужно. Оно должно просто по умолчанию быть доступно. >> >> У виртуалбокса несколько типов подключения к сети, включая NAT, >> бридж, встроенный адаптер хоста, внутренняя сеть и что-то там ещё. А >> всё потому, что разные люди хотят реализовать виртуалками разные > > Вот я про то же, что у виртуал бокса несколько жестко прибитых гвоздями > способов подключения к сети, а не возможность собрать из кубиков то, > что надо. > >> модели реальности. Кто-то хочет, чтобы сетевой адаптер виртуальной > > Естественно, среди этих моделей реальности нет той, которая наиболее > удобна нормальным людям, умеющим думать и желающим понимать. > Проприетарная софтина, пусть и выпущенная под номинально открытой > лицензией - она отучает людей думать. Как раз модель «на хосте с виртуалками есть своя виртуальная сеть для них со своим DHCP и DNS» есть и прекрасно работает. Называется «Тип подключения; сетевой мост». # brctl show lxcbr0 bridge name bridge id STP enabled interfaces lxcbr0 8000.fefe43a96481 no veth16AORX # ip -4 addr show dev lxcbr0 6: lxcbr0:mtu 1500 qdisc noqueue state UP group default qlen 1000 inet 10.10.13.1/24 scope global lxcbr0 valid_lft forever preferred_lft forever # netstat -lnup | grep 10.10.13.1:53 udp0 0 10.10.13.1:53 0.0.0.0:* 3113/dnsmasq И вот так добавлен домен с виртуалками в общий DNS на компе: # cat /etc/dnsmasq.d/lxc server=/lxc/10.10.13.1 И всё прекрасно работает и для QEMU, и для VirtualBox, и для LXC. Одновременно. Не вижу никакой сложности при использовании VireualBox с произвольной конфигурацией сети. >> Так что не надо религиозных войн, и не надо выдавать частные неудачи >> в конфигурации сети за глобальные проблемы программного интерфейса. > > Нет, вот именно что надо религиозных войн. Потому что религозные войны > они за свободу. За право самому определять то что тебе удобно, а что > нет. Если бы религиозные войны, что компьютерные, что мировые приводили не к смерти и разрушениям, а к чему-то созидательному — на здоровье. Но глядя на исторический опыт — в топку!
Re: Тестирование DNS в lxc контейнере.
On Mon, Sep 05, 2016 at 08:38:02PM +0300, Victor Wagner wrote: > On Mon, 5 Sep 2016 17:03:32 +0300 > Eugene Berdnikovwrote: > > вила трансляции. Так что пока лишь диагноз > > > > "голова и руки". > > > > > > Не очевидно. Лично мне очевидно что с хоста, который является > > > nat-ящим роутером между внутренней сетью и внешней, внутренняя сеть > > > должна быть просто ВИДНА. Соотвественно ничего пробрасывать не > > > должно быть нужно. Оно должно просто по умолчанию быть доступно. > > > > У виртуалбокса несколько типов подключения к сети, включая NAT, > > бридж, встроенный адаптер хоста, внутренняя сеть и что-то там ещё. А > > всё потому, что разные люди хотят реализовать виртуалками разные > > Вот я про то же, что у виртуал бокса несколько жестко прибитых гвоздями > способов подключения к сети, а не возможность собрать из кубиков то, > что надо. Нет, неправда. > > модели реальности. Кто-то хочет, чтобы сетевой адаптер виртуальной > > Естественно, среди этих моделей реальности нет той, которая наиболее > удобна нормальным людям, умеющим думать и желающим понимать. Ваша "любимая" модель (сеть, присоединённая через адаптер к хост-системе) там есть. Вы, наверное, её не нашли, так плохо искали. Меню всего из пятка типов подключений к сети. Впрочем, для человека, априори уверенного в наличии одного единственно правильного решения, которое непременно должно быть всенародно любимым правильными гражданами (как во времена СССР), пяток это слишком много, конечно. -- Eugene Berdnikov
[DONE] wml://security/2011/dsa-2{337,190}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2011/dsa-2190.wml2014-04-30 13:16:24.0 +0600 +++ russian/security/2011/dsa-2190.wml 2016-09-05 23:07:48.865226457 +0500 @@ -1,38 +1,39 @@ - -several vulnerabilities +#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov" +неÑколÑко ÑÑзвимоÑÑей - -Two XSS bugs and one potential information disclosure issue were discovered - -in WordPress, a weblog manager. - -The Common Vulnerabilities and Exposures project identifies the - -following problems: +Ðве XSS-оÑибки и одна поÑенÑиалÑÐ½Ð°Ñ Ð¿Ñоблема Ñ ÑаÑкÑÑÑием инÑоÑмаÑии бÑли обнаÑÑÐ¶ÐµÐ½Ñ +в WordPress, менеджеÑе блога. +ÐÑÐ¾ÐµÐºÑ Common Vulnerabilities and Exposures опÑеделÑÐµÑ +ÑледÑÑÑие пÑоблемÑ: https://security-tracker.debian.org/tracker/CVE-2011-0700;>CVE-2011-0700 - - Input passed via the post title when performing a Quick Edit or - - Bulk Edit action and via the post_status, comment_status, - - and ping_status parameters is not properly sanitised before being used. - - Certain input passed via tags in the tags meta-box is not properly sanitised - - before being returned to the user. + ÐÑ Ð¾Ð´Ð½Ñе даннÑе, пеÑеданнÑе ÑеÑез заголовок ÑообÑÐµÐ½Ð¸Ñ Ð² Ð¼Ð¾Ð¼ÐµÐ½Ñ Ð²ÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð´ÐµÐ¹ÑÑвий Quick Edit или + Bulk Edit, а Ñакже ÑеÑез паÑамеÑÑÑ post_status, comment_status + и ping_status, непÑавилÑно оÑиÑаÑÑÑÑ Ð´Ð¾ моменÑа Ð¸Ñ Ð¸ÑполÑзованиÑ. + ÐпÑеделÑннÑе Ð²Ñ Ð¾Ð´Ð½Ñе даннÑе, пеÑеданнÑе ÑеÑез Ñеги в меÑаполе Ñегов, оÑиÑаÑÑÑÑ Ð½ÐµÐ¿ÑавилÑно + до Ð¸Ñ Ð²Ð¾Ð·Ð²ÑаÑа полÑзоваÑелÑ. https://security-tracker.debian.org/tracker/CVE-2011-0701;>CVE-2011-0701 - - WordPress incorrectly enforces user access restrictions when accessing posts - - via the media uploader and can be exploited to disclose the contents - - of e.g. private or draft posts. + WordPress некоÑÑекÑно ÑÑÑÐ°Ð½Ð°Ð²Ð»Ð¸Ð²Ð°ÐµÑ Ð¿Ð¾Ð»ÑзоваÑелÑÑкие огÑаниÑÐµÐ½Ð¸Ñ Ð´Ð¾ÑÑÑпа пÑи обÑаÑении к + ÑообÑениÑм ÑеÑез загÑÑзÑик медиа, ÑÑо Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑÑÑ Ð´Ð»Ñ ÑаÑкÑÑÑÐ¸Ñ ÑодеÑжимого, + напÑимеÑ, закÑÑÑÑÑ Ð¸Ð»Ð¸ ÑеÑновÑÑ ÑообÑений. - -The oldstable distribution (lenny) is not affected by these problems. +ÐÑедÑдÑÑий ÑÑабилÑнÑй вÑпÑÑк (lenny) не подвеÑжен ÑÑим пÑоблемам. - -For the stable distribution (squeeze), these problems have been fixed in - -version 3.0.5+dfsg-0+squeeze1. +Ð ÑÑабилÑном вÑпÑÑке (squeeze) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² +веÑÑии 3.0.5+dfsg-0+squeeze1. - -For the testing distribution (wheezy), and the unstable distribution (sid), - -these problems have been fixed in version 3.0.5+dfsg-1. +Ð ÑеÑÑиÑÑемом (wheezy) и неÑÑабилÑном (sid) вÑпÑÑÐºÐ°Ñ +ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² веÑÑии 3.0.5+dfsg-1. - -We recommend that you upgrade your wordpress packages. +РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ wordpress. # do not modify the following line - --- english/security/2011/dsa-2337.wml2014-04-30 13:16:25.0 +0600 +++ russian/security/2011/dsa-2337.wml 2016-09-05 23:00:34.293608103 +0500 @@ -1,37 +1,38 @@ - -several vulnerabilities +#use wml::debian::translation-check translation="1.4" maintainer="Lev Lamberov" +неÑколÑко ÑÑзвимоÑÑей - -Several vulnerabilities were discovered in the Xen virtual machine - -hypervisor. +Ð Xen, гипеÑвизоÑе виÑÑÑалÑнÑÑ Ð¼Ð°Ñин, бÑло обнаÑÑжено неÑколÑко +ÑÑзвимоÑÑей. https://security-tracker.debian.org/tracker/CVE-2011-1166;>CVE-2011-1166 - - A 64-bit guest can get one of its vCPUs into non-kernel - - mode without first providing a valid non-kernel pagetable, - - thereby locking up the host system. + 64-биÑнÑе гоÑÑевÑе ÑиÑÑÐµÐ¼Ñ Ð¼Ð¾Ð³ÑÑ Ð¿ÐµÑевеÑÑи один из ÑÐ²Ð¾Ð¸Ñ Ð²Ð¸ÑÑÑалÑнÑÑ Ð¦Ð Ð² не-ÑдеÑнÑй + Ñежим без пÑедоÑÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ ÐºÐ¾ÑÑекÑной не-ÑдеÑной ÑаблиÑÑ ÑÑÑаниÑ, + ÑÑо пÑÐ¸Ð²Ð¾Ð´Ð¸Ñ Ðº завиÑÐ°Ð½Ð¸Ñ Ð¾Ñновной ÑиÑÑемÑ. https://security-tracker.debian.org/tracker/CVE-2011-1583;>CVE-2011-1583, https://security-tracker.debian.org/tracker/CVE-2011-3262;>CVE-2011-3262 - - Local users can cause a denial of service and possibly execute - - arbitrary code via a crafted paravirtualised
Re: Тестирование DNS в lxc контейнере.
> > Естественно, среди этих моделей реальности нет той, которая наиболее > удобна нормальным людям, умеющим думать и желающим понимать. > Проприетарная софтина, пусть и выпущенная под номинально открытой > лицензией - она отучает людей думать. > А где записывают в очередь не думающих? а то мне нравится виртуалбокс - мне ка-то оно надо чтобы протестировать что-то, да и скорость работы устраивает, а наличие интерфейса я таки считаю плюсом. И мне таки хватает чем заниматься, кроме виртуалок. Ну и плюс ко всему я предпочитаю айфон - не, у меня были и леново, и лыжа не дешевая, только обратно вернулся на айфон. Свой старый 5S я таки за два года добил, пришлось пойти и купить новый 5S, сейчас очень даже не дорого. А еще я считаю самым удобным офисным пакетом все таки микрософт офис, хоть сам и пользуюсь либрой
[DONE] wml://security/2011/dsa-2{262,148}.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2011/dsa-2148.wml2014-04-30 15:22:54.0 +0600 +++ russian/security/2011/dsa-2148.wml 2016-09-05 22:53:36.949984894 +0500 @@ -1,30 +1,31 @@ - -several vulnerabilities +#use wml::debian::translation-check translation="1.4" maintainer="Lev Lamberov" +неÑколÑко ÑÑзвимоÑÑей - -The developers of Tor, an anonymizing overlay network for TCP, found three - -security issues during a security audit. A heap overflow allowed the execution - -of arbitrary code - -(https://security-tracker.debian.org/tracker/CVE-2011-0427;>CVE-2011-0427), - -a denial of service vulnerability was found in the zlib compression handling - -and some key memory was incorrectly zeroed out before being freed. The latter - -two issues do not yet have CVE identifiers assigned. The Debian Security - -Tracker will be updated once they're available: +РазÑабоÑÑики Tor, анонимизиÑÑÑÑей ÑеÑи, ÑабоÑаÑÑей повеÑÑ TCP, в Ñ Ð¾Ð´Ðµ аÑдиÑа +безопаÑноÑÑи бÑло обнаÑÑжено ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи. ÐеÑеполнение динамиÑеÑкой памÑÑи +позволÑÐµÑ Ð²ÑполнÑÑÑ Ð¿ÑоизволÑнÑй код +(https://security-tracker.debian.org/tracker/CVE-2011-0427;>CVE-2011-0427), +в коде обÑабоÑки ÑжаÑÐ¸Ñ zlib бÑл обнаÑÑжен оÑказ в обÑлÑживании, +Ñакже некоÑоÑÐ°Ñ Ð¿Ð°Ð¼ÑÑÑ ÐºÐ»ÑÑей обнÑлÑеÑÑÑ Ð½ÐµÐºÐ¾ÑÑекÑно до ÐµÑ Ð¾ÑвобождениÑ. Ðве поÑледние +пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð¿Ð¾ÐºÐ° не полÑÑили иденÑиÑикаÑоÑÑ CVE. ÐнÑоÑмаÑÐ¸Ñ Ð² ÑиÑÑеме оÑÑÐ»ÐµÐ¶Ð¸Ð²Ð°Ð½Ð¸Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи +Debian бÑÐ´ÐµÑ Ð¾Ð±Ð½Ð¾Ð²Ð»ÐµÐ½Ð° по меÑе Ð¸Ñ Ð´Ð¾ÑÑÑпноÑÑи: https://security-tracker.debian.org/tracker/source-package/tor;>\ https://security-tracker.debian.org/tracker/source-package/tor - -For the stable distribution (lenny), this problem has been fixed in - -version 0.2.1.29-1~lenny+1. +Ð ÑÑабилÑном вÑпÑÑке (lenny) ÑÑа пÑоблема бÑла иÑпÑавлена в +веÑÑии 0.2.1.29-1~lenny+1. - -For the testing distribution (squeeze) and the unstable distribution (sid), - -this problem has been fixed in version 0.2.1.29-1. +Ð ÑеÑÑиÑÑемом (squeeze) и неÑÑабилÑном (sid) вÑпÑÑÐºÐ°Ñ +ÑÑа пÑоблема бÑла иÑпÑавлена в веÑÑии 0.2.1.29-1. - -For the experimental distribution, this problem has been fixed in - -version 0.2.2.21-alpha-1. +Ð ÑкÑпеÑименÑалÑном вÑпÑÑке ÑÑа пÑоблема бÑла иÑпÑавлена в +веÑÑии 0.2.2.21-alpha-1. - -We recommend that you upgrade your tor packages. +РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ tor. - -Further information about Debian Security Advisories, how to apply - -these updates to your system and frequently asked questions can be - -found at: https://www.debian.org/security/ +ÐополниÑелÑÐ½Ð°Ñ Ð¸Ð½ÑоÑмаÑÐ¸Ñ Ð¾ ÑекомендаÑиÑÑ Debian по безопаÑноÑÑи, Ñом, как пÑименÑÑÑ +ÑÑи Ð¾Ð±Ð½Ð¾Ð²Ð»ÐµÐ½Ð¸Ñ Ð´Ð»Ñ Ð²Ð°Ñей ÑиÑÑемÑ, а Ñакже ÑаÑÑо задаваемÑе вопÑоÑÑ Ð¼Ð¾Ð¶Ð½Ð¾ +найÑи по адÑеÑÑ: https://www.debian.org/security/ # do not modify the following line - --- english/security/2011/dsa-2262.wml2011-06-16 07:02:39.0 +0600 +++ russian/security/2011/dsa-2262.wml 2016-09-05 22:45:10.001785615 +0500 @@ -1,49 +1,50 @@ - -several vulnerabilities +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +неÑколÑко ÑÑзвимоÑÑей - -Several cross-site scripting and information disclosure issues have - -been fixed in Moodle, a course management system for online learning: +Ð Moodle, ÑиÑÑеме ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ ÐºÑÑÑами Ð´Ð»Ñ Ð¾Ð½Ð»Ð°Ð¹Ð½-обÑÑениÑ, бÑло иÑпÑавлено +неÑколÑко ÑлÑÑаев межÑайÑового ÑкÑипÑинга и ÑаÑкÑÑÑÐ¸Ñ Ð¸Ð½ÑоÑмаÑии: http://moodle.org/mod/forum/discuss.php?d=170002;>MSA-11-0002 - -Cross-site request forgery vulnerability in RSS block +Ðодделка межÑайÑовÑÑ Ð·Ð°Ð¿ÑоÑов в блоке RSS http://moodle.org/mod/forum/discuss.php?d=170003;>MSA-11-0003 - -Cross-site scripting vulnerability in tag autocomplete +ÐежÑайÑовÑй ÑкÑипÑинг в авÑодополнении Ñегов http://moodle.org/mod/forum/discuss.php?d=170009;>MSA-11-0008 - -IMS enterprise enrolment file may disclose sensitive information +Файл Ñ Ð·Ð°Ð¿Ð¸ÑÑми об обÑÑаÑÑÐ¸Ñ ÑÑ IMS Ð¼Ð¾Ð¶ÐµÑ ÑаÑкÑÑваÑÑ ÑÑвÑÑвиÑелÑнÑÑ Ð¸Ð½ÑоÑмаÑиÑ
Re: Тестирование DNS в lxc контейнере.
On Mon, 5 Sep 2016 17:03:32 +0300 Eugene Berdnikovwrote: вила трансляции. Так что пока лишь диагноз > > > "голова и руки". > > > > Не очевидно. Лично мне очевидно что с хоста, который является > > nat-ящим роутером между внутренней сетью и внешней, внутренняя сеть > > должна быть просто ВИДНА. Соотвественно ничего пробрасывать не > > должно быть нужно. Оно должно просто по умолчанию быть доступно. > > У виртуалбокса несколько типов подключения к сети, включая NAT, > бридж, встроенный адаптер хоста, внутренняя сеть и что-то там ещё. А > всё потому, что разные люди хотят реализовать виртуалками разные Вот я про то же, что у виртуал бокса несколько жестко прибитых гвоздями способов подключения к сети, а не возможность собрать из кубиков то, что надо. > модели реальности. Кто-то хочет, чтобы сетевой адаптер виртуальной Естественно, среди этих моделей реальности нет той, которая наиболее удобна нормальным людям, умеющим думать и желающим понимать. Проприетарная софтина, пусть и выпущенная под номинально открытой лицензией - она отучает людей думать. > > Так что не надо религиозных войн, и не надо выдавать частные неудачи > в конфигурации сети за глобальные проблемы программного интерфейса. Нет, вот именно что надо религиозных войн. Потому что религозные войны они за свободу. За право самому определять то что тебе удобно, а что нет. Для тех, кто склонен в этом плане доверять вендору софта, есть iPhone и iPad. Им нечего делать за клавиатурой универсального компьютера. Собственнно это продолжение той же войны в которой людьми против зомби уже было проиграно сражение за систему инициализации. Кстати, в процессе дискуссии на эту тему где-то в devel прозвучало "Debian is not about choice". Ты действительно этого хочешь? Чтобы не было выбора и надо было использовать то, что решили голосованием? -- Victor Wagner
Re: Тестирование DNS в lxc контейнере.
On Mon, 05 Sep 2016 20:18:00 +0300 Oleksandr Gavenkowrote: > On 2016-09-05, Иван Лох wrote: > > > В системе i386 и ядром amd64 уже ставится и работает? > > Чем такая конфигурация привлекательна? > > Вендоры не поставляют 32-bit драйверов и хочется сэкономить на RAM в > офисных компьютерах? > Дебиан не предоставляет процедуры crossgrade с i386 на amd64 с сохранением всей конфигурациии системы. -- Victor Wagner
Re: Тестирование DNS в lxc контейнере.
5 сентября 2016 г., 20:18 пользователь Oleksandr Gavenkoнаписал: > On 2016-09-05, Иван Лох wrote: > > > В системе i386 и ядром amd64 уже ставится и работает? > > Чем такая конфигурация привлекательна? > > Вендоры не поставляют 32-bit драйверов и хочется сэкономить на RAM в > офисных > компьютерах? > Уже больше года новые офисные компы комплектую минимум 8 гигами оперативки. Все что меньше - это не память, это уже склероз.
Re: [DONE] wml://security/2005/dsa-{771,715,918}.wml
05.09.2016 15:37, Andrey Skvortsov пишет: > On 26 Aug, Lev Lamberov wrote: >> +использование метода доступа pserver вмесьте с заплатой repouid, > вмеСТе > >> +безопасности проблем. Проект Common Vulnerabilities and Exposures > безопасностЬЮ Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: Тестирование DNS в lxc контейнере.
- Хаим, я слышал вы выиграли миллион в лотерею! Это правда? - Не совсем. - Что значит не совсем? - Ну во-первых не миллион, а тысячу. Во-вторых, не в лотерею, а в карты. И в третьих, не выиграл, а проиграл.
Re: [DONE] wml://security/2005/dsa-{666,893,756}.wml
05.09.2016 15:33, Andrey Skvortsov пишет: > On 26 Aug, Lev Lamberov wrote: >> +элементах консолей из-за неправильного проверки и фильтрации параметров. > неправильноЙ Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: Тестирование DNS в lxc контейнере.
On 2016-09-05, Иван Лох wrote: > В системе i386 и ядром amd64 уже ставится и работает? Чем такая конфигурация привлекательна? Вендоры не поставляют 32-bit драйверов и хочется сэкономить на RAM в офисных компьютерах? -- http://defun.work/
Re: [DONE] wml://security/2005/dsa-{760,652,662}.wml
05.09.2016 15:03, Andrey Skvortsov пишет: > On 29 Aug, Lev Lamberov wrote: >> +использовать локальными злоумышленниками. > использоватьСЯ Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2008/dsa-1{592,645,515}.wml
05.09.2016 14:53, Andrey Skvortsov пишет: > On 31 Aug, Lev Lamberov wrote: >> +удалённым злоумышленниками для вызова чрезмерного потребления памяти >> lighttpd и > удалённымИ > >> +доступным ресурсы, не предназначенные для открытия. > доступнымИ Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: [DONE] wml://security/2006/dsa-1{239,085,033}.wml
05.09.2016 14:16, Andrey Skvortsov пишет: > On 03 Sep, Lev Lamberov wrote: >> +В "share edit window" было обнаружено несколько случае межсайтового > случаеВ > > >> +В SQL Ledger, программы для ведения двойной бухгалтерии на основе веб, >> было обнаружено > программЕ Исправил. Спасибо! signature.asc Description: OpenPGP digital signature
Re: Тестирование DNS в lxc контейнере.
On 2016-09-05, Михаил Касаджиков wrote: >> VirtualBox не запустится пока не выгрузить kvm.ko и наоборот с vboxdrv.ko > > Прекрасно работают одновременно и KVM и VirtualBox: > $ lsmod | grep -e ^kvm -e ^vbox > vboxpci24576 0 > vboxnetadp 28672 0 > vboxnetflt 28672 0 > vboxdrv 450560 3 vboxnetadp,vboxnetflt,vboxpci > kvm_amd61440 0 > kvm 565248 1 kvm_amd Я сделал коственный вывод, KVM ускорение Android эмулятора конфликтует с VirtualBox. Модули то загружаются, но конкретно ругались приложения: $ emulator-x86 -avd $NAME -qemu -m 512 -enable-kvm $ virtualbox У меня было как в: http://stackoverflow.com/questions/16168799/android-emulator-and-virtualbox-cannot-run-at-same-time Правда официальный Android эмулятор у меня жутко тупил, я использовал freeware Genymotion, который основан на VirtualBox )) -- http://defun.work/
Re: Тестирование DNS в lxc контейнере.
05.09.2016 00:27, Oleksandr Gavenko пишет: > On 2016-09-04, Victor Wagner wrote: >> Eugene Berdnikovwrote: Лучше взять KVM, а не virtual box. >>> >>> Чем лучше? Неужто в virtualbox резолвер криво работает? :) >> >> 1. Не нужно дополннительных модулей в ядро. > > bash# lsmod | grep kvm > 63:kvm_intel 184320 0 > 64:kvm 552960 1 kvm_intel > > VirtualBox не запустится пока не выгрузить kvm.ko и наоборот с vboxdrv.ko Прекрасно работают одновременно и KVM и VirtualBox: $ lsmod | grep -e ^kvm -e ^vbox vboxpci24576 0 vboxnetadp 28672 0 vboxnetflt 28672 0 vboxdrv 450560 3 vboxnetadp,vboxnetflt,vboxpci kvm_amd61440 0 kvm 565248 1 kvm_amd
Re: Тестирование DNS в lxc контейнере.
On Mon, Sep 05, 2016 at 01:27:52PM +0300, Victor Wagner wrote: > On Mon, 5 Sep 2016 12:50:23 +0300 > Eugene Berdnikovwrote: > > > > Ну то есть ситуация "видеть я эту консоль не хочу, > > > пустите меня по SSH и HTTP, но лишних внешних IP у меня нет". > > > > Очевидно, в гостевую сеть нужно пробрасывть ssh и http, а снаружи > > должны быть видны имена (что можно сделать пробросом dns внутрь или > > приёмом апдейтов изнутри, через nat, внешним dns'ом). Если nat был > > встроенный виртуалбоксовый, неудивительно, что ничего не получилось, > > потому как проброс внутрь это уже не nat (во всяком случае не то, > > что называется "nat'ом" в виртуалбоксе), а дополнительные правила > > трансляции. Так что пока лишь диагноз "голова и руки". > > Не очевидно. Лично мне очевидно что с хоста, который является > nat-ящим роутером между внутренней сетью и внешней, внутренняя сеть > должна быть просто ВИДНА. Соотвественно ничего пробрасывать не должно > быть нужно. Оно должно просто по умолчанию быть доступно. У виртуалбокса несколько типов подключения к сети, включая NAT, бридж, встроенный адаптер хоста, внутренняя сеть и что-то там ещё. А всё потому, что разные люди хотят реализовать виртуалками разные модели реальности. Кто-то хочет, чтобы сетевой адаптер виртуальной машины "торчал" прямо в корпоративный LAN, а все промежуточные бриджи, хост-системы и прочая муть -- для него лишние слои абстраций. Кто-то же хочет, чтобы система виртуализации сама делала nat, а конфигурить iptables на хост-системе ему нафиг не сдалось. Вы же хотите такую модель, где гость подсоединён к некоей виртуальной сети, и эта сеть через виртуальный адаптер заходит на хост-систему. ОК. Все модели хороши и имеют право на жизнь, и все в виртуалбоксе более-менее нормально работают. В частности, родной для vb тип подключения NAT содержит стандартную для шлюзов функцию проброса портов во внутреннюю сеть. Так что не надо религиозных войн, и не надо выдавать частные неудачи в конфигурации сети за глобальные проблемы программного интерфейса. -- Eugene Berdnikov
Re: [DONE] wml://security/2005/dsa-{771,715,918}.wml
On 26 Aug, Lev Lamberov wrote: > - --- english/security/2005/dsa-715.wml 2006-12-06 19:23:28.0 > +0500 > +++ russian/security/2005/dsa-715.wml 2016-08-26 13:01:55.856068615 +0500 > @@ -1,34 +1,35 @@ > href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1342;>CAN-2004-1342 > > - -Maks Polunin and Alberto Garcia discovered independently that > - -using the pserver access method in connection with the repouid > - -patch that Debian uses it is possible to bypass the password and > - -gain access to the repository in question. > +Макс Полунин и Альберто Гарсиа независимо обнаружили, что > +использование метода доступа pserver вмесьте с заплатой repouid, вмеСТе > +используемой в Debian, позволяет обходить проверку пароля и > +получать доступ к данному репозиторию. > > - --- english/security/2005/dsa-918.wml 2005-12-09 18:46:15.0 > +0500 > +++ russian/security/2005/dsa-918.wml 2016-08-26 13:10:54.220629962 +0500 > @@ -1,35 +1,36 @@ > - -programming error > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +ошибка программирования > > - -Several security related problems have been discovered in osh, the > - -operator's shell for executing defined programs in a privileged > - -environment. The Common Vulnerabilities and Exposures project > - -identifies the following vulnerabilities: > +В osh, командной строке оператора для выполнения определённых программ > +в привилегированном окружении, было обнаружено несколько связанных с > +безопасности проблем. Проект Common Vulnerabilities and Exposures безопасностЬЮ -- Best regards, Andrey Skvortsov signature.asc Description: PGP signature
Re: [DONE] wml://security/2005/dsa-{666,893,756}.wml
On 26 Aug, Lev Lamberov wrote: > - --- english/security/2005/dsa-893.wml 2005-11-14 17:02:29.0 > +0500 > +++ russian/security/2005/dsa-893.wml 2016-08-26 13:20:06.744507955 +0500 > @@ -1,29 +1,30 @@ > - -missing input sanitising > +#use wml::debian::translation-check translation="1.2" maintainer="Lev > Lamberov" > +отсутствие очистки входных данных > > - -Remco Verhoef has discovered a vulnerability in acidlab, Analysis > - -Console for Intrusion Databases, and in acidbase, Basic Analysis and > - -Security Engine, which can be exploited by malicious users to conduct > - -SQL injection attacks. > - - > - -The maintainers of Analysis Console for Intrusion Databases (ACID) in > Debian, > - -of which BASE is a fork off, after a security audit of both BASE and ACID > - -have determined that the flaw found not only affected the > base_qry_main.php (in > - -BASE) or acid_qry_main.php (in ACID) component but was also found in other > - -elements of the consoles due to improper parameter validation and > filtering. > - - > - -All the SQL injection bugs and Cross Site Scripting bugs found have been > - -fixed in the Debian package, closing all the different attack vectors > detected. > - - > - -For the old stable distribution (woody) this problem has been fixed in > - -version 0.9.6b20-2.1. > +Ремко Вкрхоф обнаружил уязвимости в acidlab, Analysis > +Console for Intrusion Databases, и в acidbase, Basic Analysis and > +Security Engine, которые могут использоваться злоумышленниками для выполнения > +SQL-инъекций. > + > +Сопровождающие Analysis Console for Intrusion Databases (ACID) в Debian, > +ответвление которого является BASE, после аудита безопасности BASE и ACID > +определили, что эта уязвимость касается не только компонентов > base_qry_main.php (в > +BASE) или acid_qry_main.php (в ACID), но присутствует и в других > +элементах консолей из-за неправильного проверки и фильтрации параметров. неправильноЙ -- Best regards, Andrey Skvortsov signature.asc Description: PGP signature
Re: Тестирование DNS в lxc контейнере.
On Mon, 5 Sep 2016 12:50:23 +0300 Eugene Berdnikovwrote: > > Ну то есть ситуация "видеть я эту консоль не хочу, > > пустите меня по SSH и HTTP, но лишних внешних IP у меня нет". > > Очевидно, в гостевую сеть нужно пробрасывть ssh и http, а снаружи > должны быть видны имена (что можно сделать пробросом dns внутрь или > приёмом апдейтов изнутри, через nat, внешним dns'ом). Если nat был > встроенный виртуалбоксовый, неудивительно, что ничего не получилось, > потому как проброс внутрь это уже не nat (во всяком случае не то, > что называется "nat'ом" в виртуалбоксе), а дополнительные правила > трансляции. Так что пока лишь диагноз "голова и руки". Не очевидно. Лично мне очевидно что с хоста, который является nat-ящим роутером между внутренней сетью и внешней, внутренняя сеть должна быть просто ВИДНА. Соотвественно ничего пробрасывать не должно быть нужно. Оно должно просто по умолчанию быть доступно. А создание внутреней сети, которая по умолчанию не доступна с хоста должно требовать если не плясок с бубном, то осознанного решения "я хочу, чтобы эта сеть не была доступна". Вопрос о взаимодействии между dhcp-сервером внутренней сети и dns резолвером хоста - он несколько более интересный. Мой вариант - когда на хосте есть один общий dhcp-сервер для всех внутренних сетей, и он же является локальным dns-сервером, поэтому сервит заодно и адресат хостов из внутренних сетей, может кому-то не понравится. > > А написать обертку вокруг голого kvm которая делает то что надо в > > нужных мне случаях, но при этом не мешает лезть грязными лапами в > > командную строку kvm или в его монитор у меня заняло 500 строк на > > питоне. > > Да, это офигенно быстро и просто, надо всем чайникам рекомендовать. Теперь можно. Потому что я ее уже написал. И желающие могут скачать и использовать. Но вообще-то чайникам я могу порекомендовать только "мышки, станьте ежиками". То есть если либо переставай быть чайником, либо универсальный компьютер не для тебя, купи себе айфон.
Re: [DONE] wml://security/2005/dsa-{760,652,662}.wml
On 29 Aug, Lev Lamberov wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA512 > - --- english/security/2005/dsa-760.wml 2005-07-18 23:36:13.0 > +0600 > +++ russian/security/2005/dsa-760.wml 2016-08-29 12:40:18.803426528 +0500 > @@ -1,38 +1,39 @@ > href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1916;>CAN-2005-1916 > > - -Eric Romang discovered insecure temporary file creation and > - -arbitrary command execution in a contributed script that can be > - -exploited by a local attacker. > +Эрик Роман обнаружил небезопасное создание временного файла и > +выполнение произвольной команды в сопутствующем сценарии, которые могут > +использовать локальными злоумышленниками. использоватьСЯ -- Best regards, Andrey Skvortsov signature.asc Description: PGP signature
Re: [DONE] wml://security/2008/dsa-1{592,645,515}.wml
On 31 Aug, Lev Lamberov wrote: > - --- english/security/2008/dsa-1645.wml 2014-04-30 13:16:16.0 > +0600 > +++ russian/security/2008/dsa-1645.wml2016-08-31 21:13:42.915778813 > +0500 > @@ -1,36 +1,37 @@ > href="https://security-tracker.debian.org/tracker/CVE-2008-4298;>CVE-2008-4298 > - -A memory leak in the http_request_parse function could be used by > - -remote attackers to cause lighttpd to consume memory, and cause a > - -denial of service attack. > +Утечка памяти в функции http_request_parse может использоваться > +удалённым злоумышленниками для вызова чрезмерного потребления памяти > lighttpd и удалённымИ > +отказа в обслуживании. > > href="https://security-tracker.debian.org/tracker/CVE-2008-4359;>CVE-2008-4359 > - -Inconsistant handling of URL patterns could lead to the disclosure > - -of resources a server administrator did not anticipate when using > - -rewritten URLs. > - - > +Непоследовательная обработка шаблонов URL может приводить к раскрытию > +ресурсов, которое не ожидается системным администратором при > использовании > +перезаписанных URL. > + > href="https://security-tracker.debian.org/tracker/CVE-2008-4360;>CVE-2008-4360 > - -Upon filesystems which don't handle case-insensitive paths > differently > - -it might be possible that unanticipated resources could be made > available > - -by mod_userdir. > +При использовании файловых систем, которые не обрабатывают > независящие от регистра > +пути другим способом, с помощью mod_userdir можно сделать > +доступным ресурсы, не предназначенные для открытия. доступнымИ -- Best regards, Andrey Skvortsov signature.asc Description: PGP signature
Re: Тестирование DNS в lxc контейнере.
On Mon, Sep 05, 2016 at 07:50:16AM +0300, Victor Wagner wrote: > On Sun, 4 Sep 2016 17:37:25 +0300 > Eugene Berdnikovwrote: > > > > 2. Куда гибче и проще конфигурация сети. В VirtualBox попытались > > > создать интерфейс для чайников, в результате получилось шаг вправо, > > > шаг влево считается побег. > > > > Приведите пример шага вправо и пример шагa влево, за которые > > интерфейс виртуалбокса стреляет в юзера. > > Помнится, у меня были проблемы с какой-то совершенно тривиальной на мой > взгляд конфигурацией. Вроде виртуальной сети, которая > NAT-ится во внешний мир, а внутри виртуалкам раздают адреса по DHCP, и > потом можно с хост-системы ходить на эти виртуалки, используя их > hostname в качестве DNS имен. > > Ну то есть ситуация "видеть я эту консоль не хочу, > пустите меня по SSH и HTTP, но лишних внешних IP у меня нет". Очевидно, в гостевую сеть нужно пробрасывть ssh и http, а снаружи должны быть видны имена (что можно сделать пробросом dns внутрь или приёмом апдейтов изнутри, через nat, внешним dns'ом). Если nat был встроенный виртуалбоксовый, неудивительно, что ничего не получилось, потому как проброс внутрь это уже не nat (во всяком случае не то, что называется "nat'ом" в виртуалбоксе), а дополнительные правила трансляции. Так что пока лишь диагноз "голова и руки". > > > 3. Конфигурация всего остального у kvm тоже гибче, хотя это не > > > слишком актуально для задачи тестирования DNS. Но может потом > > > захочется еще чего потестировать. (а к тому времени в KVM уже и > > > 3d-графика будет) > > > > Человеку нужно было не гибче, а побыстрее и попроще. > > И вот тут-то kvm натурально сосёт. > > Человеку нужно "чтобы решало его задачу". В этом сосут все изделия > Oracle. Не надо экстремизма и передёргиваний на ровном месте. Виртуалбокс это изделие Сана, а не Оракла. Ораклу достались лишь права на него. А задачу "побыстрее и попроще" решает таки виртуалбокс, а не kvm. > А написать обертку вокруг голого kvm которая делает то что надо в > нужных мне случаях, но при этом не мешает лезть грязными лапами в > командную строку kvm или в его монитор у меня заняло 500 строк на > питоне. Да, это офигенно быстро и просто, надо всем чайникам рекомендовать. -- Eugene Berdnikov
Re: [DONE] wml://security/2006/dsa-1{239,085,033}.wml
On 03 Sep, Lev Lamberov wrote: > - --- english/security/2006/dsa-1033.wml 2014-04-30 13:16:09.0 > +0600 > +++ russian/security/2006/dsa-1033.wml2016-09-03 12:26:33.998750080 > +0500 > @@ -1,39 +1,40 @@ > - -several vulnerabilities > +#use wml::debian::translation-check translation="1.4" maintainer="Lev > Lamberov" > +несколько уязвимостей > > - -Several remote vulnerabilities have been discovered in the Horde web > - -application framework, which may lead to the execution of arbitrary > - -web script code. The Common Vulnerabilities and Exposures project > - -identifies the following problems: > +В Horde, инфраструктуре веб-приложений, было обнаружено несколько > удалённых > +уязвимостей, которые могут приводить к выполнению произвольного > +веб-сценария. Проект Common Vulnerabilities and Exposures > +определяет следующие проблемы: > > > > href="https://security-tracker.debian.org/tracker/CVE-2005-4190;>CVE-2005-4190 > > - -Several Cross-Site-Scripting vulnerabilities have been discovered in > - -the "share edit window". > +В "share edit window" было обнаружено несколько случае межсайтового случаеВ > +скриптинга . > > - --- english/security/2006/dsa-1239.wml 2014-04-30 13:16:10.0 > +0600 > +++ russian/security/2006/dsa-1239.wml2016-09-03 12:17:54.097387037 > +0500 > @@ -1,39 +1,40 @@ > - -several vulnerabilities > +#use wml::debian::translation-check translation="1.3" maintainer="Lev > Lamberov" > +несколько уязвимостей > > - -Several remote vulnerabilities have been discovered in SQL Ledger, a web > - -based double-entry accounting program, which may lead to the execution > - -of arbitrary code. The Common Vulnerabilities and Exposures project > - -identifies the following problems: > +В SQL Ledger, программы для ведения двойной бухгалтерии на основе веб, > было обнаружено программЕ > +несколько удалённых уязвимостей, которые могут приводить к выполнению > +произвольного кода. Проект Common Vulnerabilities and Exposures > +определяет следующие проблемы: > -- Best regards, Andrey Skvortsov signature.asc Description: PGP signature
Re: Тестирование DNS в lxc контейнере.
On Sun, Sep 04, 2016 at 05:37:25PM +0300, Eugene Berdnikov wrote: > On Sun, Sep 04, 2016 at 08:39:57AM +0300, Victor Wagner wrote: > > On Sat, 3 Sep 2016 21:34:36 +0300 > > Eugene Berdnikovwrote: > > > > > > > > Лучше взять KVM, а не virtual box. > > > > > > Чем лучше? Неужто в virtualbox резолвер криво работает? :) > > > > 1. Не нужно дополннительных модулей в ядро. > > Это забота пакетного менеджера. В системе i386 и ядром amd64 уже ставится и работает?