В Thu, 04 Apr 2024 13:02:01 +0300
Dmitrii Kashin <[email protected]> пишет:

Антивирус штука бесполезная: вместо этого нужно контролировать
источники программ и запускать только проверенное.

Здесь подпишусь. Хотя это идеальный случай, иногда приходится
поступаться принципами. Но на то есть schroot, lxc и firejail.

Фаервол дома смысла особо нет, а в рабочем контуре -- ну так там либо
циска, либо облако с secgroups.

Вот тут не соглашусь.
Во-первых, может прийти в гости кто-нибудь с затрояненым смартфоном или
планшетом и ты его пустишь в свой Wi-fi. Во-вторых, в многоэтажном доме каждая Wi-fi сетка видна в десятках
квартир. А wpa2 - защита довольно ненадежная. Так что иметь
дополнительный контур защиты от квартирной локальной сети не помешает,
тем более что это почти ничего не стоит ни по расходу времени на
настройку, ни по расходу вычислителных ресурсов.

Тысячи хостеров предоставляют услуги аренды VDS за бугром. Поднимаем
на них ipsec или openvpn. Платим смешные деньги.

И настраиваем FoxyProxy чтобы оно автоматически решало через что ходить.

--
Victor Wagner <[email protected]>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

В Thu, 04 Apr 2024 13:38:05 +0300
Dmitrii Kashin <[email protected]> пишет:

А так, вообще, защищать нужно то, что должно быть защищено. В моей
политике безопасности домашняя вафля ничем не отличается от точки
доступа в макдаке. Это априори незащищённый контур. И рассматривать
его иным равносильно тому, что ты НЕ дашь к нему доступ гостю, что по
меньшей мере не вежливо.

Иным рассматривать надо свой компьютер. Который в этот самый
незащищенный контур включен. А если это ноутбук, то может и в
макдаковском вайфае оказаться. Поэтому файрвол в этом компьютере - вещь
полезная.


--
Victor Wagner <[email protected]>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

В Thu, 4 Apr 2024 11:26:23 +0300
Jan Krapivin <[email protected]> пишет:

Здравствуйте!

Используете ли вы на своих система антивирус и фаервол?

Файрволл - да, антивирус - нет.

Считаете ли вы уместным использовать их на домашней системе без SSH?

У меня не бывает систем без sshd. Даже на смартфоне стоит sshd в termux.
Потому что устройств нынче у человека много - десктоп, ноутбук,
смартфон, а в семье так еще больше. Ну не через чужие же сервера между
ними данными обмениваться, тем более что скорость передачи данных с
внешнего сайта ну никак не может быть больше скорости передачи данных
между домашним роутером и конечным устройством.

Если используете, то какие? Сайт Clam AV не открывается из России.
Обходите ли вы это как-то?

Ну я никогда не использую софт с сайта производителя, если есть
возможность его ставить из дистрибутива Debian. Потому что в софт из
дистрибутива хотя бы мельком заглянул дебиановский мейнтейнер. А чем
больше людей смотрело в код, тем больше шансов что туда не затешется
бэкдор вроде того, что недавно в liblzma нашли.






--
Victor Wagner <[email protected]>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

В Sun, 07 Apr 2024 22:16:00 +0300
"Andrey Jr. Melnikov" <[email protected]> пишет:

Victor Wagner <[email protected]> wrote:

В Thu, 4 Apr 2024 11:26:23 +0300
Jan Krapivin <[email protected]> пишет:

Ага, только у конечного устройства есть свой процессор и излишнее
шифрование ssh скорости не добавляет. между доверенными сетями проще
rsync через родной протокол использовать.

Когда-то давно, в прошлом веке, я тоже так думал. rsync тогда еще не
было, но был rsh/rcp с авторизацией по ip-адресам.

Но где-то году в 2005 я работал в фирме, занимавшейся разработкой
криптографического софта, и мы там провели бенчмарки, выясняя сколько
нужно процессора для того чтобы шифровать со скоростью канала.

Вывод был такой что гигагерцового интел-совместимого процессора на
шифрование траффика со скоростью 100Мбит/c вполне достаточно.

С тех пор я как-то не пытаюсь экономить процессорные мощности, а
предпочитаю экономить собственные усилия. Уж больно ssh обеспечивает
удобный single sign-on.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

В Mon, 08 Apr 2024 09:20:59 +0400
Денис Ильин <[email protected]> пишет:

- все
 
 
Ого, похоже ещё кто то не в курсе этой почти шпионской истории про
xz-utils. Вот тут есть немножечко деталей. Security Week 2414: последствия взлома xz-utils / Хабр (habr.com)
 

В данной статье на хабре не объясняется, почему при обновлении пакета в
debian sid не была поднята эпоха, а были приделаны какие-то странные
суффиксы к версии пакета (а версия апстрима оставлена как была с
бэкдором).

Подозреваю что у мейнтейнера объяснение есть. Но опубликовано ли оно
где-нибудь - искать лень.

 а в sid быстро-быстро liblzma обновился до версии
5.6.1+really5.4.5-1.

Чушь какая-то. Для этого же в версии есть эпоха. Была какая-то
особая причина добавлять странный суффикс "+really5.4.5-1" вместо
того, чтобы сделать "1:5.4.5-1", мейнтейнер что-нибудь говорил?
 

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

В Mon, 08 Apr 2024 10:44:53 +0300
"Andrey Jr. Melnikov" <[email protected]> пишет:

Victor Wagner <[email protected]> wrote:

В Sun, 07 Apr 2024 22:16:00 +0300
"Andrey Jr. Melnikov" <[email protected]> пишет:

Victor Wagner <[email protected]> wrote:

В Thu, 4 Apr 2024 11:26:23 +0300
Jan Krapivin <[email protected]> пишет:

Ага, только у конечного устройства есть свой процессор и излишнее
шифрование ssh скорости не добавляет. между доверенными сетями
проще rsync через родной протокол использовать.

Когда-то давно, в прошлом веке, я тоже так думал. rsync тогда еще не
было, но был rsh/rcp с авторизацией по ip-адресам.

Он и сейчас остался.

Но где-то году в 2005 я работал в фирме, занимавшейся разработкой
криптографического софта, и мы там провели бенчмарки, выясняя
сколько нужно процессора для того чтобы шифровать со скоростью
канала.

Вывод был такой что гигагерцового интел-совместимого процессора на
шифрование траффика со скоростью 100Мбит/c вполне достаточно.

В календарик загляни, 2024 год на дворе. И прекрасных, жрущих
электроэнергию интеловских камней увы уже не хватает, чтоб загрузить
10G канал. Да и в ральности - часть коробок уже не на интелях, а на

10G канал? В домашних условиях?

Сейчас как заглянешь в магазин, так у большей части продающихся там
домашних роутеров эзернет-порты по прежнему сотка, даже не гигабит

более хлипеньких ARM/MIPS/RISC-V5 которых прекрасно хватает для
обеспечения нужд хранения данных, но не хватает для шифрования в
"скорость канала" ибо там уже 1G/2.5G линки.

Вот у этих хлипеньикх ARM/MIPS/RiSС-V скорее всего узкое место при
передаче данных тоже будет не в процессоре. Во всяком случае во всех,
которые попадали в руки мне, проблема была либо в эзернет-чипе, либо в
его связи с процессором по USB.

С тех пор я как-то не пытаюсь экономить процессорные мощности, а
предпочитаю экономить собственные усилия. Уж больно ssh обеспечивает
удобный single sign-on.

А никто у тебя это не отнимает. Просто зайти параллельно на тот-же
хост, запустить 'printf "[mnt]\n/куда/оно/там/\nuid=0\ngid=0\n"

/tmp/rsync.conf && rsync --daemon --no-detach' для запуска демона

Вот когда надо просто зайти и что-то сделать, это уже не single sign-on.
single signon это когда ты утром в начале рабочего дня логинишься в
систему, у тебя там в память загружается ssh-агент, который введенным
тобой при логине паролем расшифровывает ключ ssh, и ты до самого конца
рабочего дня забываешь о необходимости где-то как-то
аутентифицирвоаться. Просто запускаешь команду, а она уже дальше сама.

То есть лишних телодвижений ровно 0.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

В Tue, 09 Apr 2024 10:19:11 +0300
"Andrey Jr. Melnikov" <[email protected]> пишет:

Victor Wagner <[email protected]> wrote:

В Mon, 08 Apr 2024 10:44:53 +0300
"Andrey Jr. Melnikov" <[email protected]> пишет:

Victor Wagner <[email protected]> wrote:

В Sun, 07 Apr 2024 22:16:00 +0300
"Andrey Jr. Melnikov" <[email protected]> пишет:

[...]

домашних роутеров эзернет-порты по прежнему сотка, даже не гигабит

А ты не хоти по этим помойкам с жадными продавцами. Я лично не беру
вообще ничего, у чего эзернет меньше гигабита. Зачем мне железки
позапрошлого века?

Зачем мне во домашних условиях, где все равно сеть в основном для
хождения наружу, сеть настолько превосходящая производительность
аплинка?

Очевидно, что при выборе домашнего роутера меня будут волновать:

1. Наличие его в HCL openwrt
2. Наличие у него встроенного аккумулятора, чтобы не требовалось туда
отдельный UPS вешать на случай отключения электричества.
3. Параметры его wi-fi подсистемы
4. Параметры его 4G подсистемы и возможность подключения внешней
антенны для 4G.

И только после всего этого - эзернет. Потому что к эзернету подключится
один десктоп и от силы два-три ноутбука, и то ноутбуки большую часть
времени (когда не нужно перекачивать большие объемы между ними) будут
подключаться по WiFi вместе со смартфонами и планшетами.

И естественно, отдельного 8 портового свитча управляемого там или
неуправляемого в такой конфигурации не нужно.
В wi-fi роутере есть пять портов, из которых один может быть аплинком,
(если аплинк не 4G) а остальных четырех мне хватит на десктоп, пару
ноутбуков и принтер.


--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

В Wed, 10 Apr 2024 10:53:40 +0300
"Andrey Jr. Melnikov" <[email protected]> пишет:

Очевидно, что при выборе домашнего роутера меня будут волновать:

1. Наличие его в HCL openwrt

Бесполезное знание. Я бы даже сказал - обратно показательное. Ничего
действительно свежего в ихних HCL нет, всё 5и летней давности. И плюс
идеология "всё делаем как вендор" - ещё кучу девайсов делает не
поддерживаемой. Они там придумали себе OpenWrt One роутер на 20 лет
openwrt. Но по спецификациям он уже так себе.

Свежего нет и не надо. Зато есть уверенностЬ, что если эта железяка
сдохнет, я найду в ближайшем магазине хоть какой-то роутер попадающий в
этот HCL, восстановлю конфигурацию из бэкапа и через час у меня все
будет опять работать. С проприетарными операционными я не могу быть
уверен что мне не придется потратить нескольоко дней на переписывание
конфигурации файрволла потому что производитель предыдущей железки
прекратил работать в России из-за санкций, а у китайского аналога -
собственная гордость.

3. Параметры его wi-fi подсистемы

Это тоже отдельная железка. Ибо в большом городе 2.4G уже мало
работоспособно. Да и стоять она должна посреди дома для хорошего
охвата. Или даже не одна.

Ну а что мешает протянуть провайдерский кабель до середины дома? У меня
в московской квратире так и сделано. Это куда проще чем снабжать
бесперебойным питанием две железки в разных углах квартиры.

4. Параметры его 4G подсистемы и возможность подключения внешней
антенны для 4G.

И это тоже отдельная железка, желательно с PoE - ибо место ей на
крыше/мачте/окне желательно в одном корпусе с MMIO антенной. Почти
всё из модемов - USB, так что пойдёт любой роутер с USB, переходником

Вот тут отдельная железка серьезно ухудшает эргономику. Потому что у
отдельной железки в есть отдельный web-интерейс. У роутера один
интерфейс, у модема другой, при этом еще между модемом и роутером
отдельная серая сетка из 192.168.0.0/16.

Удобнее когда СМС-ки от провайдера приходят в тот же веб-интерфейс, в
котором настройки файрволла и вайфая.

USB-miniPCIe и модемом в формате miniPCIe. Так проще вынуть и
выкинуть модем если что. При этом - роутер должен уметь управлять
питанием USB, т.к. модемы имеют свойство глючить (спасибо криворуким
китайцам пишущим для них прошивки!). И желательно, чтоб питание было

Вот-вот. И будем героически бороться с глюками проприетарных прошивок,
вместо того чтобы воспользоваться прямым опенсурсным решением.

Ты бы при таких хотелках - не "Наличие его в HCL openwrt" искал, а
роутер с рабочим PPE (Packet Processing Engine, который занимается
Hardware Flow Offloading для разгрузки дохлого проуессора роутера от
перекладывания пакетиков в wifi/ethernet внутри микросхемы).

Вот этого как раз не надо. Потому что ядро openwrt процессор грузит,
конечно, но это линуксовое ядро, в котором файлволл понятно как
работает, и понятно что умеет. И при замене этого роутера на любой
другой совместимый с openwrt, конфиги туда переносятся копированием.

Это тебе не нужно, а мне - нужно. У меня одних WiFi точек - три
штуки. Не считая микро-серверочков и прочих показывалок мультиков в
телевизор, у которых wifi подключен как SDIO - поэтому

А у меня НЕТ ТЕЛЕВИЗОРА. Вообще. И соответственно проблема гонки
разрешений стриминговых сервисов - блюрей там, 4к или что еще бывает,
меня не волнует абсолютно. Все равно еще ни один режиссер не сумел
снять такой фильм, который бы в DVD-шном разрешении что-то терял по
сравнению с более высокими.
--

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

В Tue, 16 Apr 2024 23:00:36 +0300
"Andrey Jr. Melnikov" <[email protected]> пишет:

Victor Wagner <[email protected]> wrote:

В Wed, 10 Apr 2024 10:53:40 +0300
"Andrey Jr. Melnikov" <[email protected]> пишет:

Очевидно, что при выборе домашнего роутера меня будут
волновать:

1. Наличие его в HCL openwrt

Не, если тебе задорого охота покупать всякое г-но - то можно смотреть
в HCL. Но там и с замшелыми древностями - проблема. Всё, что более
менее работает - это дряхлый atheros (который нонче qualcomm),
складывается при 100 мегабитах трафика. Boradcom? Ну это тот ещё

Ну у меня в аплинке все равно столько нет. Поэтому мне хватит.

MT7621/7622/7981. Отфильтруем по флешу (больше 128) и памяти (больше
512) и тут от выбора не остётся совсем ничего. При этом, куча

Ну куда столько?

нормальных плат типа Orange Pi/Banana Pi - нет ни в TOH, но в

Вот эксперимент с Banana PI R1 в качестве роутера я проводил, и признал
неудачным. Там родной Wi-Fi оказаслся хреноватеньким. То есть все равно
один из 4 эзернет разъемов пришлось тратить на то чтобы воткнуть туда
тупой D-Link.

То есть вариант "все в одном = свитч + роутер + точка доступа +
почтовый сервер + торрентокачалка" из бананы не получился.
хотя если точек доступа все равно нужно несколько, то такой вариант
вполне приемлемый.

Правда, он становится интересен только если дома есть внешний IP-адрес.
Иначе все равно придется платить за что-то на хостинге у провайдера,
через что будет пересылаться почта.

снабжать бесперебойным питанием две железки в разных углах
квартиры.

Железки и так подключены кабелем, подключить их через PoE 802.3af/at
тоже просто.

Вот это интересная мысль - включать в UPS PoE-адаптер, а все остальное
запитывать от него.

Да, для тебя будет открытием, что в любом USB модеме есть свой
web-интерфейс? Только вот не везде его тебе показывают, прикрываясь

Не в любом. Был у меня один USB-модем (билайновский, насколько я помню)
куда web-интерфейс положить забыли. Точно такой же мегафоновский - с
веб интерфейсом. И даже пароль на вход телнетом у них одинаковый. А тут
нет.

Удобнее когда СМС-ки от провайдера приходят в тот же веб-интерфейс,
в котором настройки файрволла и вайфая.

Эм, никогда не понимал, зачем мне в модем пишет оператор и всякий МЧС.
Особенно красиво это наблюдать, когда смс приезжает в юникоде. Прям
гордость берёт.

Ну мегафон, например шлет SMS-какми одноразовые пароли к личному
кабинету.

Оооо. Покажи ка мне LTE модем с полностью открытой прошивкой? Можешь
за одно wifi показать. Только новый что LTE что WiFi. Или для тебя

Зачем мне новый? Я покупаю роутер из соображений чтобы работал 10-15
лет и не собираюсь тратить еще денег только потому что маркетологи
выкатили новый баззворд.

Вот этого как раз не надо. Потому что ядро openwrt процессор грузит,
конечно, но это линуксовое ядро, в котором файлволл понятно как
работает, и понятно что умеет. И при замене этого роутера на любой
другой совместимый с openwrt, конфиги туда переносятся
копированием.

Ага, производитель делает ему хорошо, чтоб дохленький процессор
разгрузить - а ему не надо. И никаких противоречий с фаирволом и

Вот именно что я боюсь данайцев дары приносящих. "производитель делает
хорошо" это называется "vendor lock in". А производитель - явление
ненадежное. Может разориться, может оказаться отделенным санкционным
барьером, может решить что "хорошо" это не так как вчера, а совсем
по-другому. Вспомните как стонали пользователи Microsoft Office, когда
им вместо привчных CUA-шних менюшек в очередной версии офиса вкрутили
полоски. Или там появление Mate как форка GNOME потому что люди не
хотят переучиваться на то, что считают правильным разработчики.

Поэтому мне нужно решение, которое будет работать с железом
максимально большого количества производителей.

Я бы конечно приедпочел DD-WRT, потому что у него веб-интерфейс
поэргономичнее чем Luci, но увы HCL у openwrt длиннее.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

То есть вариант "все в одном = свитч + роутер + точка доступа +
почтовый сервер + торрентокачалка" из бананы не получился.
хотя если точек доступа все равно нужно несколько, то такой вариант
вполне приемлемый.

А зачем на банане почтовый сервер? Нет, ну на одного пользователя -
может быть. А на пяток - уже памяти маловато будет. С торрентами -

Там папияти - гиг. Я еще помню времена когда сотни пользователей
обслуживались почтовым сервером с парой десятков мегабайт.
Так что на семью точно хватит.

та-же история, там надо память, я уже не говорю про диск.

А чего говорить про диск? Там на плате SATA-разьем припаян. Втыкай хоть
терабайт.

Правда, он становится интересен только если дома есть внешний
IP-адрес. Иначе все равно придется платить за что-то на хостинге у
провайдера, через что будет пересылаться почта.

Нет, ты меня удивляешь. Стоимость фиксированного IP уже давно равна
стоимости kmv vps сервера на хостинге. Из всей разницы - кому нести
деньги и как это будет работать, если у тебя дома потух свет. И из
хостера вытрусить нормальную обратную зону гораздо проще, чем из
хоячкового провайдера.

Принципиальная разница - чтобы перлюстрировать почту на моей банане,
надо прийти ко мне домой с ордером на обыск. То есть я уж точно буду
знать о том, что это произошло. Чтобы перлюсттрировать почту на
хостинге, достаточно прийти в хостинговый датацентр. И можно взять с
сотрудников хостера подписку о неразглашении, чтобы они не могли мне об
этом сообщить.

Вот это интересная мысль - включать в UPS PoE-адаптер, а все
остальное запитывать от него.

Вот видишь, у тебя уже правильные мысли. Только заклинание UPS тут
лишнее, удорожает. Проще взять какой meanwell PSC-60A, батарейку 12v
9Ah, и DC-DC повышаек с 12v на 48v. Оно хоть будет работать дольше
чем пол часа.

UPS это Uninterraptable Power Suplly, а не заклинание. В какую бы хрень
батарейку не втыкатЬ, она по смыслу будет UPS

Удобнее когда СМС-ки от провайдера приходят в тот же
веб-интерфейс, в котором настройки файрволла и вайфая.

Эм, никогда не понимал, зачем мне в модем пишет оператор и всякий
МЧС. Особенно красиво это наблюдать, когда смс приезжает в
юникоде. Прям гордость берёт.

Ну мегафон, например шлет SMS-какми одноразовые пароли к личному
кабинету.

У мегафона давно можно сделать один номер главным и рулить всеми
остальными с него. У теле-еле2 тоже. Зачем принимать сообщения в
модем - моя не понимать.

Затем что у меня это единственный номер от мегафона. В телефоне другой
провайдер. Чтобы на случай если сдохнет базовая станция мегафона, можно
было через телефон подключиться к базовой станции МТС.

Хахахаха. Послезавтра гуголь выкатит новое обновление и твой телефон
перестанет коннектиться к 10 летнему роутеру, т.к. тот не соотвествет
политикаv безопасности, не поддерживает WEP14 и вообще.

Послезавтра гугль выкатит новое обновление. Потом пройдет три года,
прежде чем китайцы соберутся с этим обновлением выпустить телефон, а
потом еще два года, пока я соберусь его купить.

И обновлений прошивки они для этого телефона выкатывать не будут.

Сейчас у меня на телефоне андроид 11. Куплен телефон год назад.
Обновляться не пытался. На преддыщущем телефоне, купленном примерно два
года назад, была по-помоему семерка.

Витус, ты тут уже путаешь понятия. Совсем путаешь. "vendor lock in"
это когда ты без железа/софта вендора ничего сделать не можешь. А в
случае с offload engine - хочешь пользуйся, хочешь нет.

Нет, vendor lock in, это когда я не могу в любой момент послать этого
вендора переехать на железку от другого.

А если в железке есть функциональность, которой я не пользуюсь, то это
плохо, потому что я заплатил деньги за то, что мне не нужно.
В современном мире это, конечно, неизбежно, но лучше таки поменьше
такого иметь.

Вспомните как стонали пользователи Microsoft Office, когда
им вместо привчных CUA-шних менюшек в очередной версии офиса
вкрутили полоски. Или там появление Mate как форка GNOME потому
что люди не

Пользователи софта от MS должны страдать, это надо в лицензию
вписывать отдельным пунктом.

Все вендоры софта одним миром мазаны и MS еще из лучших.(если с тем же
гуглем сравнивать, к примеру).

Впрочем тут страдать приходится не только пользователям проприетарного
софта. Возьмем к примеру Gnome. Там обновление интерфейса настолько не
понравилось многим, что народ собрался и форкнул от старой версии Mate.

Я бы конечно приедпочел DD-WRT, потому что у него веб-интерфейс
поэргономичнее чем Luci, но увы HCL у openwrt длиннее.

А зачем тебе web-интерфейс то? Ты же конфиги собрался копировать, а не
вручную мышкой гуевозить?

ну как - есть две разные задачи:
1. Перенести конфигурацию со старой железки на новую. Это копированием
конфигов делается.
2. Поменять конфигурацию в связи с какими-то изменившимися
обстоятельствами. Ну там провайдер сменился или появилась потребность
пропусктать внутрь сети какой-то новый протокол, Вот это удобнее делать
в GUI, потому что GUI - самодокументированный. И соответственно задачу,
которая возникает раз в год, удобнее делать через него за пять минут,
чем полчаса читать документацию а потом за минуту сделать. Очевидно,
что второй путь окупается только при не менее чем семикратном
повторении.
--




--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)