#  Re: g2k14: Marc Espie on ports and packages
zhuk@ (lenina,131) → 51t  –  16:22:17 2014-08-04

> а чтобы любой адрес *.ipv6.51t.ru работал? чтобы я мог все сервисы и на 51t.ru и на ipv6.51t.ru вешать

done
#  Re: g2k14: Marc Espie on ports and packages
51t (lenina,1) → zhuk@  –  16:14:43 2014-08-04

а чтобы любой адрес *.ipv6.51t.ru работал? чтобы я мог все сервисы и на 51t.ru и на ipv6.51t.ru вешать, одни для ipv4, другие для ipv6 (кстать, уже нашёл и исправил косяк регистрации при работе ipv6).
#  Re: g2k14: Marc Espie on ports and packages
zhuk@ (lenina,131) → 51t  –  16:04:12 2014-08-04

Ну вот как-то так уже работает:
====
$ host -t ANY ipv6.51t.ru 127.0.0.1
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases:

ipv6.51t.ru has SOA record ns1.ohvost.ru. mail.51t.ru. 2014080402 28800 7200 864000 86400
ipv6.51t.ru name server ns1.ohvost.ru.
ipv6.51t.ru has IPv6 address 2a01:7c8:aab0:4af::5
====
#  Re: черновик от тэо
zhuk@ (lenina,131) → 51t  –  15:55:42 2014-08-04

(попробовал перевести сам... вроде, терпимо, но надо будет ещё раз вычитать)

g2k14: Theo de Raadt: безопасность и конфигурашность

Лидер проекта OpenBSD Тео де Раадт (deraadt@) пишет об g2k14:

Две недели перед Словенией я работал с Бобом Беком (Bob Beck) над заменяющими getentropy(2) функциями. В начале хакафона были внесены последние штрихи, нужные Бобу и Бренту Куку (Brent Cook) для дальнейшей работы.

Затем пришло время разбираться с очередной проблемой безопасности, о которой мне стало известно. К нашему прискорбию выяснилось, что исчерпание ограничения на количество одновременно открытых файлов может быть использовано для сокрытия уведомлений о переполнении стека от соответствующего механизма защиты. Защитнику стека требуется файловый дескриптор, чтобы сообщить об ошибке. Те, кто уже читал заметки об arc4random и getentropy, уже в курсе данной ситуации.(*)

Проблема стала очевидной из-за технологии "песочницы", используемой ныне в SSH-утилитах, которая закрыла syslog_r() доступ к socket(), connect(), sendto()... всем системным вызовам, необходимым для сообщения об ошибке, но потенциально опасным - что как раз "песочница" и должна предотвращать.

Задача была решена путём создания нового системного вызова, который может отправить сообщение в syslogd без использования лишних ресурсов; syslog_r(3) теперь использует его напрямую: один щелчок, выстрел, поехали дальше. Данный системный вызов имеет более чем узкое применение, и поэтому был назван sendsyslog(2), и при этом он также подходит для специфических условий, таких как использование "песочницы".

В этом плане, ситуация схожа с тем, как getentropy(2) была вынесена из sysctl. Забавно, как одно приводит к другому.

>> Читать далее
#  Re: g2k14: Marc Espie on ports and packages
51t (lenina,1) → zhuk@  –  15:26:18 2014-08-04

> Эм. Пока у тебя есть запись вида "*.51t.ru. IN A 149.210.140.35", я ничего не смогу сделать... Если только я не тупой, и трюк вида "ipv6.51t.ru является отдельной зоной" каким-то волшебным образом не сработает.

ну сделай сейчас ресолв ipv6.51t.ru :) я прописал туда левые NS-записи, и A-запись уже не срабатывает :)
#  Re: g2k14: Marc Espie on ports and packages
zhuk@ (lenina,131) → 51t  –  15:24:08 2014-08-04

> ты можешь сделать DNS, чтобы на любой адрес ipv6.51t.ru отдавала ipv6-адрес и только его? я ns пропишу.

Эм. Пока у тебя есть запись вида "*.51t.ru. IN A 149.210.140.35", я ничего не смогу сделать... Если только я не тупой, и трюк вида "ipv6.51t.ru является отдельной зоной" каким-то волшебным образом не сработает.

> допереведи два предложения от тео

Ой, а я так и не отправил, значит... Ща.