Я уже столько ресурсов перечитал, что в голове исключительно каша. Судя по issues в репе микрог и xda, с ним нельзя пройти basicIntegrity уже примерно года с 2019-го так. Что странно, потому что, как мне казалось, basic на то и basic, что эту проверку можно наебать хотя бы какой-то хитроумной комбинацией патчей и модулей, в отличие от профиля cts (который на моём телефоне и так не поддерживается). Что именно такого гугл добавили в эту проверку? Можно ли её всё-таки пройти без установки гугловской версии сервисов? Окружение такое: lineageos 18.1 (не for microG), magisk 23 (приложение скрыто, magiskHide включён для org.microg.gms.droidguard и com.google.android.gms): модули magiskhide props config (настроен фингерпринт родной прошивки этого телефона), riru, lsposed, riru-momohider, universal safetynet fix. модули в lsposed (приложение тоже скрыто): fakegapps (применён на System Framework), XPrivacyLua (на System Framework, Settings Storage и microG Services Core). XPrivacyLua: галочка на Use tracking для com.google.android.gms. microG установлен в /system/priv-app, работаю с ним внутри рабочего профиля через Shelter.
В общем, надо было догуглить до конца. На днях вышла canary сборка Magisk, в которой появился Zygisk (а ещё выпилены MagiskHide и репозиторий модулей, лол). В тг-канале lsposed есть сборка 6192 для работы с zygisk, а не с riru (последние два конфликтуют между собой и риру со всеми своими модулями работать не будет с включённым зигиском). И со всем этим кастратом basicIntegrity я всё ещё не прохожу. Уже, казалось бы, повод не обновляться на канарейку, если всё работает (пока не появятся модули для зигиска, помогающие именно с safetynet), но вдобавок зигиску чтобы упасть (до следующего полного ребута) достаточно как раз падения zygote. А universal safetynet fix нужен вообще не для прохождения уровня basic, похоже. Форк FakeGApps от whiw (версия 3.0) надо применять только на System Framework у основного пользователя и нигде больше, для XPrivacyLua галочки в LSPosed ставить где-то кроме рекомендованных пакетов тоже бесполезно. Дай тайваньский бог к релизу magisk 24 появятся и модули уже, чтобы снова из тюрьмы гугла выбраться.
>>3844 (OP) Можно узнать, зачем тебе прохождение basicIntegrity? Сижу на microg, банковские приложения работают даже без MagiskHide, а большего для счастья и не надо
>>3847 Да для спортивного интереса В issues на гитхабе, впрочем, видно, что это проблема старая и решаться будет сложно, а скорее всего через ещё миллион лет
pfpmd существует с 2015 года. Изначально он был попыткой воскресить один ресурс, который назывался лолкс, но теперь это в прошлом. Населен небольшим количеством людей и имеет низкую активность, что и хотелось бы изменить. pfpmd не модерируется, бан невозможен, как и цензура. Логотипом pfpmd является символ Ω, в честь Chaitin omega number https://en.wikipedia.org/wiki/Chaitin's_constant
Фичи pfpmd: -Борды не фиксированы, в форме создания поста можно указать имя новой борды и она будет создана динамически в момент создания поста. -Можно менять описание борды, это может делать любой пользователь сколько угодно раз; -На странице с чатом по дефолту отображаются сообщение не только из чата, но и со всех борд. Это поведение можно изменить в настройках. -На станице чана отображаются треды со всех борд. Но можно отобразить только треды какой-то одной борды, просто перейдя по ссылке этой борды. -Картинки отображаются с некоторых ресурсов, например, imgur, twitter. Также показываются превьюшки видео с youtube и некоторых имиджборд. Список будет пополняться в будущем. -Текстовое поле ввода чата поддерживает подобие командной строки. Есть команды для создания тредов, ответа в тред, изменения описания борды. -Можно скрыть отображение всех сообщений с кириллицей. -Поддерживается форматирование блоков кода. Подсветка синтаксиса реализована через highlight.js и выключена по дефолту, но ее можно включить в настройках. -Поддерживается форматирование математических формул через KaTeX. Но эта фича тоже выключена по дефолту. -Есть страница с логами всех сообщений (включая борды) в обратном по дате порядке. -Пользовательские фильтры. -И многое другое в новом интерфейсе.
Основные принципы:
-Максимальное облегчение сервера, весь (кроме статического) html генерится на клиенте, сервер отправляет клиенту только сырые данные; -Минимум зависимостей у клиентского кода. Всё, за исключение подсветки синтаксиса и математических формул, реализовано на голом javascript, без использования всяких jquery, vue.js и прочих фреймворков. Исходный код KaTeX и highlightjs подгружается только когда фичи включены в настройках. -Отсутствие цензуры.
Планы развития:
-Децентрализация на уровне серверов. Будет множество инстансов pfpmd, которые синхронизируются между собой. Юзер сможет подключаться к любому из серверов, сможет поднять свой. Находится в процессе разработки в данный момент.
Уже сделано:
-Клиентское приложение с консольным интерфейсом и веб интерфейсом. Чтобы юзер мог без запуска торбраузера заходить на pfpmd или вообще без гуйни, а также чтобы иметь свою локальную базу сообщений, по которой можно делать поиск и что угодно. -Допилить дизайн.
Вторым постом будет FAQ. Но, в любом случае, я буду отвечать в тред.
https://www.youtube.com/watch?v=I9dckx73vdI&t=1s Вы не бейте только, сам глупый, а тут слова такие умные. Мутейшн обзервер, ран-эт:документ-старт, инлайн-скрипт, монкипатчинг, контент-скирпт, экзюкишн-энвайронмент айзолейшн-ворлд, сервис-воркеры ... В конце вообще уличная магия по перехвату личных данных акков телеграмма и шапочки из фольги. Всего лишь хотел саморазвиваться, а тут такое. Это все правда или нет? Как теперь верить разным апсторам и вообще сайтам если даже банковские оплаты делать страшно?
Реально ли браузерные расширения могут собирать данные со всех посещаемых тобой сайтов и отправлять их куда-то, либо в какой-то момент инициировать действия вместо тебя — да. Но ещё больше полномочий у программ, которые ты запускаешь, в т.ч. игр: им доступны вообще все твои файлы.
Можно ли с этим бороться — да: все распространённые сегодня ОС поддерживают изоляцию пользователей друг от друга; просто делаешь разную хрень под разными пользователями, не обладающими правами админа, и она не будет пересекаться. Если нужны права админа (для установки программ), есть разные песочницы, контейнерная изоляция, виртуальные машины. В андроиде, кстати, из коробки программы работают под разными пользователями, но в интернет они при этом ходят без ограничений.
Надоели безликие шпионящие лопаты? Тебе сюда. Тоскуешь по старой-доброй Nokia? Снова сюда. Нужна хорошая фотокамера без цифрового мыла и автокоррекции для дебилов? Ты по адресу. А может просто ностальгируешь по временам, когда мобильная ОС была функциональной и не сжирала дисковое пространство и оперативную память? Тред имени легендарной Symbian OS объявляется открытым! Обновления прошивки для E7/N8/808PW:http://ovi.h1n.ru/delight/ Магазин приложений:http://www.tienda-sistore.com/
Лучшей ОС для параноика тред. https://tails.boum.org >Все исходящие соединения заворачиваются в анонимную сеть Tor, а все неанонимные блокируются. >Система предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на машине, где использовалась.
>>1499 Годно! Классический интерфейс, без лишнего дерьма и свистоперделок, лучше уже не придумают.
>>3585 Это DE, а не ОС, а именно KDE и GNOME (гном параша кстати) Лично мне нравится LXDE, LXQT, XFCE, MATE, обожаю классический стиль, а от глянца и свистоперделок всегда воротило и воротит. Тут дело вкуса.
мимо
Пост отредактировал Anonymous
Ответы:
А что если все мы допустили одну большую ошибку
Anonymous
No.334[Ответ]
Сап, двачанский Не спится, даже нейролептики не помогают. Вот размышляю я и думаю, а что, если мы все обосрались в 1977? Обратившись, когда доверились криптографии с открытым ключом. Потом доверились RSA, потом PGP. Ведь вся эта криптография с открытым ключом базируется на предположении, что одни вычислительные задачи "труднее" других. Что P =/= NP. Да, обратное не доказано. Да, большинство мировых учёных думает (вдумайся, анон, просто думает), что P =/= NP. Да, абсолютно все, включая NSA, CIA, ФСБ, Сноудена, Ааронсона, Шнайдера, твердо убеждены, что P =/= NP. Да, количество любительских и серьезных доказательств на эту тему за 40 лет превысило, наверное, число работ "ферматистов" лет за 400. Причем где-то P = NP, где-то P =/= NP, а где-то вопрос неразрешим на машине Тьюринга и машине с произвольным доступом к памяти в рамках ZFC. Качество этих работ, пожалуй, хуже, чем у "ферматистов"...
Но, если мы просто плохо искали? До 2000 годов тоже думали, что задача определения простоты числа может решаться за приемлемое время только недетерменированно. Потом появился AKS алгоритм.
Просто представьте, мы выстроили всю человеческую инфраструктуру: DNS-сервера, маршрутизацию, TSL, SSL, mesh-сети, freenet, цифровые подписи, блокчейн, https, RSA-шифрование, управление дронами и умным домом, электронные казино - только на предположении. Представь это, анон.
Что будет, если это предположение окажется неправдой, анон? Предлагаю поразмышлять, что будет с сетевой структурой в таком случае. О web 2.0 точно забудем, ибо любой пользовательский контент можно будет заменить на вредоносный и подписать. Останется ли хотя бы. web 1.0? Или вообще провайдеры и хостеры разорятся, и нас ждёт куча изолированных локалок?
>>337 Ну хорошо. P=NP. Авторитетно заявляю. Потому что я - Боженька. Пруфов не будет.
Теперь, исходя из этой предпосылки, ты можешь сломать большую часть инфраструктуры, обнулить все биткойны, обрушить биржи и украсть все деньги со счетов ящериков. Твори, анон.
Твои действия? Ой всё.
Вообще-то утверждать (даже с пруфами), что твоя мамка - шлюха, и её трахнуть - это несколько разные вещи.
Есть опенвпн сервер (нет, wireguard не подойдет) на vps, все соединение с которым, включая рукопожатие, зашифровано заранее обговоренными ключами (tls-crypt-v2) и катится через 443/tcp (вообще удп в основном, пока работает). Обязательно должен работать iOS-клиент, соотвессна никаких ssh-туннелей и пр. Очень уж хочется построить из себя параноика, живя в России, за сим интересно: 1. Вики говорит, что еле2 умеет в блокировку esni. Насколько сам смог вкурить, esni != ech, потому что в первом случае в рукопожатии явно видно незашифрованную часть, хоть уже и без имени хоста, а вот во втором браузер с сайтом обмениваются всю дорогу мусором по каналу, из-за чего в принципе можно предположить, что там не сайт грузится, а что-то другое. Насколько часты в природе случаи "вот этого вот другого", чтобы если РКН решили бы забанить весь 443/tcp без явного ClientHello, снова пришлось бы чинить половину интернета и откатывать блокировку? 2. Раз опенвпн на сервере знает, что говорит ему клиент, подключаясь с правильным ключем, то не написал ли еще никто случаем какой-нибудь мультиплексер на стероидах, который бы отличал зашифрованный клайентхеллоу от приветствия опенвпна, чтобы на одном и том же порту и к впн меня подключать, и посторонним заглушку выбрасывать безобидную, кто с браузера зайдет?
>>3806 Я скорее про какие-нибудь патчи для опенвпн думал, чтобы сам опенвпн разбирался с этим Но такую дичь надо уже самому писать, лезть в исходники там >>3807 Посмотрел на сайте shadowsocks, не нашел подобного
>>3803 (OP) Думаю, твой вариант это OpenVPN через UDP завернутый в TLS или HTTP туннель. Мультиплексором c перенаправлением по url или basic auth могут выступать nginx, haproxy.
Примеры настройки обычно выложены в редми/вики на гитхабе.
Шифровать sni или нет не принципиально, мы ведь хотим выглядеть как легитимный траффик без мысли скрывать что-либо. Вариант dpi как в китае и анализом каждого коннекта с пробами нейросетью недостижим для РФ в ближайшем будущем. В случае серьезной движухи мы скорее пойдем по белорусскому сценарию, где будут в приоритете plain-http и p2p туннели - v2ray и psiphon соответственно, вплоть до белого списка по протоколам или адресам Советую тебе настроить несколько обходных путей и использовать наиболее быстрый, адаптируясь к реалиям, нежели замедлить себе интернет до уровня adsl.
Ответы:
Шифропанка/КриптоАнархизма объединения тред
Anonymous
No.3751[Ответ]
Сап, шпанки и прочие любители свободы от анальной слежки. Невозможно свободно адекватно общаться о технологиях зондах/ слежке, софте не возможно. В русскоязычных интернетах из живых борд только /s/ подмайорного сосача. А остальные группы анонов сильно фрагментированы. Обсуждать даже весьма годные вещи приходится с очень маленьким кругом, а темы размазаны на разных бордах. В итоге везде по 1 посту в месяц. И полностью мёртвые доски. Нас и так мало, всего 3.5 землекома в нижних интернетах. Предлагаю объединиться, и собраться все вместе в какую-либо имиджборду, не исключаю создание своей ламповой борды. Вообще борда должна соответствовать пару правил. 1. Полная поддержка анонимности и идей шифропанка/криптоанархизма, зеркала с Tor и/или i2p доступны. 2. Работает полноценно без JS 3. Работала и выглядела более менее, баги эндчана не нужны. Тородвач слишком упоротый, нет возможности выкладывать куски кода и другие минусы в дизайне. Обсуждение приветствуется.
На связи опхуй. Тема заглохла, так как у меня тупо нет ресурсов все это поднимать и администрировать. Тумбач к сожалению умер. Тородвач населён педофилами и другими маргиналами, впринципе неплохо. Но, ассоциация криптошиз == мудак дрочащий на детей, такое себе. Цель — нейтральная техническая борда. Тучкаадмин откровенно говоря плеёт на все это, и блокирует тор. Если, есть ресурсы, поднимите пожалуйста нейтральную техническую борду, я откровенно устал от всех этих петушиных срачей, политботов, и прочего. Хочется простого общения, даже и пускай будут холиварные. lainchan вприницпе неплох, но врядли кто-либо там осядет.
>>3797 > Если, есть ресурсы, поднимите пожалуйста нейтральную техническую борду, я откровенно устал от всех этих петушиных срачей, политботов, и прочего. Хочется простого общения Вот тебе /it/, сиди и общайся.
Q: Где скачать? A: https://www.microsoft.com/ru-ru/software-download/windows10 Q: Как активировать? A: Если не хочешь платить, то идешь в интернеты и ищешь активатор. Например этот: https://myfreeproject.com/soft/81-kmsauto-net-2016.htmlпиратить плоха Q: Не хочу мокрописек, где найти ключик подешевле? A: Идешь и EBAY и покупаешь OEM ключ https://www.ebay.com/sch/i.html?_from=R40&_sacat=0&_nkw=windows+10+oem&_sop=15 Q: Что за ОЕМ? A: https://fossbytes.com/what-is-oem-windows-vs-retail-windows/
>>3776 > Спермёрка уже только на драйверпаках, на центр обновлений рассчитывать не стоит. Насколько я помню, на него вообще никогда нельзя было рассчитывать: дрова на видеокарты там были без поддержки opengl, ну и дров на многие девайсы вообще никогда не было. Развитию сперморепозитория дров мешали и пиписитарные интересы, и вообще сложившаяся культура написания и распространения софта.
Что же касается драйверпаков, то на новое железо, производитель которого резонно забил на поддержку дропнутой вендором спермы, там ничего волшебным образом не появится. Бывают исключения вроде kxproject, когда дрова начинает писать коммунити, но для спермы это вообще единственный мне известный такой случай.
> Пердоликс жму аналикс проигрывает винде в автономности Э… что ты имеешь в виду? Если ты так обозначил совокупность прыщедистрибутивов, то тезис получается неверный: выкачиваешь весь репозиторий какого-нибудь Debian — и ты абсолютно автономен в рамках его возможностей, сперме такой уровень автономности никогда не снился. > простоте в установке приложений Что может быть проще, чем apt install $programname ?
> игры и софт сложнее спиратить Не встречал с этим проблем вообще. Ни разу не было, чтобы пиратская версия спермоигры или софтины работала под вайном хуже лицензионной. Не могу сказать, что мой опыт в данной области полон или репрезентативен, но какой есть.
> чем сложнее устроен интерфейс ОС и чем менее она интуитивна, тем сильнее она мотивирует пользователя думать, что есть хорошо Интуитивность ОС — это результат подачи её интерфейса определённым образом. Но вот сама эта подача — вещь не всегда приятная, особенно если её приходится проходить при каждом использовании программы. Я предпочитаю интерфейсы, которые при хорошем их изучении дают максимальную отдачу. Излишнее мышевозюканье считаю довольно тупым занятием и весьма неудобным когда не сидишь за десктопом с игровой мышью, а располагаешься с ноутом в рандомном месте в рандомной позе.
> Пользователи ведра и гейфонов яркий тому пример. Это ты в каком смысле их приложил? Что-то я странное улавливаю: по твоему, интерфейсы перечисленного не максимально просты и интуитивны?
> гейось это тоже платформа ПК и она является антонимом слова совместимость. Угу. Уже уходит на ARM и на совместимость с ПК наплюёт в самом ближайшем будущем, как только кончится поддержка последнего мака на базе x86. Сколько там у них, пять лет?
>>3777 >дрова на видеокарты там были без поддержки opengl Даже не знал об этом, хотя были подозрения что что-то могло пойти не так когда прогонял cinebench. Но это к новидео, на амуду в любом случае дрова ставятся с сайта амуды речь о шиндоусах. >kxproject Уверен, они не единственные. Многие всё ещё предпочитают новизне и киллерфичам основное правило IT: "Работает — не трогай". >выкачиваешь весь репозиторий какого-нибудь Debian А если нет подключения к сети? Если у тебя есть только две флешки с дебиан и виндой, жёсткий диск с фильмами/играми/книгами и 30 лет ядерной зимы? Выбор будет очевиден. Если бы у бабки был мак, она была бы геем, но не везде всегда есть высокоскоростное подключение к сети, и жму/лялих более чувствителен к его отсутствию, чем шиндоус.
>Что может быть проще, чем apt install Очевидно проще будет тыкать мышкой в магазине как на ебунте кстати, напомни где это впервые появилось? Лично я впервые увидел предустанволенный магазин приложений в ОС на ПК в 2015 на ебунту мате, да, я нуфаг и её подвидах или как теперь это можно делать в дриснятке через магазин приложений. Это помимо сперморепозиториев торрент трекеров, ланчеров (стим, гог и иже с ними) и сайтов с прямой ссылкой на расширение файла без репозиториев и кококомпиляции.
>Ни разу не было, чтобы пиратская версия спермоигры или софтины работала под вайном хуже лицензионной Вынужден оспорить, эмуляция и перевод dxvk в любом случае уступают нативной поддержке. Помимо увеличенного инпут лага и сниженной стабильности, в играх например — страдает частота кадров. За редкими исключениями, например когда игра на DXкал ограничена в используемых потоках и ядрах, но при этом резко оживает при переводе в vulkan, сам знаешь почему. Хотя я не исключаю полное отсутствие проблем, но тут скорее всего дело в том, что ты играешь в нативные для линукса игры, т.е. поддерживающие opengl/vulkan, или просто поддерживаемые в lutris, как та же nier automata.
>Излишнее мышевозюканье считаю довольно тупым занятием и весьма неудобным когда не сидишь за десктопом с игровой мышью Полностью согласен хотя я как раз за десктопом с игровой мышью. Если приходится наводиться на пиксель чтобы отрегулировать размер окна — это точно кал. Почему в шиндоус до сих пор не сделали регулировку размера через alt/super как на иксах, ума не приложу... Поэтому я считаю mpv лучше чем mpc или videolan в плане управления.
>интерфейсы перечисленного не максимально просты и интуитивны? Я бы сказал чрезмерно.
>Уже уходит на ARM Ах да, из-за того самого "нового" процессора. >Сколько там у них, пять лет? Маководы считают что у них есть в запасе 8-10 лет, для нового железа. Хотя у них ведь своя экосистема, обеспеченный маковод регулярно покупает новое, а более нищий маковод купит б/у железо у обеспеченного.
Вот где главная проблема линуха — в железе. У эппл всё просто, свой софт, своё железо, даже пользователи свои, специально обученные. А в случае с линухом люди бнаружив что-то непонятное на нубуке для игр первым делом сносят его и ставят спермёрку с удобным пуском, даже не дав ему шанса. Ну или сидят на засорённой дриснятке с тремя антивирусами. Хотя казалось бы, большинству какой-нибудь elementary OS хватит за глаза.
tl;dr дрисня кал, но что бы мы делали без неё? Маздай таки наступил, но для смартфонов, и ничего хорошего из этого не вышло. Шиндоус это необходимое зло, крайняя плоть софтача.
>>3778 > Многие всё ещё предпочитают новизне и киллерфичам основное правило IT: "Работает — не трогай". Это сейчас не работает: когда поддержку ОС дропают, в ней со временем отваливаются ключевые фичи вроде TLS. Можно не обновлять изолированный комп, но если работа ведётся в интернете, без обновлений обычно не обойтись.
> А если нет подключения к сети? А откуда ты флешку с дебианом взял? Если есть откуда, то скорее всего есть возможность и получить большой образ, включающий весь репозиторий.
> Если у тебя есть только две флешки с дебиан и виндой, жёсткий диск с фильмами/играми/книгами и 30 лет ядерной зимы? Выбор будет очевиден. Однозначно debian, особенно если на флешке полный набор образов, включающий также исходники программ. Без исходников в изоляции очень плохо, т.к. нельзя ничего сделать за пределами задуманных авторами возможностей программ.
> > Что может быть проще, чем apt install > Очевидно Ты своей очевидностью так нагло не размахивай, это не более чем мнение. Мнения бывают разными и всегда содержат хотя бы минимальные ошибки и неточности. > проще будет тыкать мышкой в магазине как на ебунте А теперь попробуй написать инструкции по установке программ для apt и для его любого гуевого фронтенда, начиная с интерфейса DE, и сравни, какая выйдёт короче и понятней. > где это впервые появилось? Да с доистопических времён оно было. Synaptic, судя по логике его работы, очень древний.
ИМХО, Гуевые фронтенды удобны и просты для знакомства со списком доступного софта, но не для его установки из позиции заведомо известного наименования программы.
> > Ни разу не было, чтобы пиратская версия спермоигры или софтины работала под вайном хуже лицензионной > Вынужден оспорить Не с тем споришь. Перечитай ещё раз предложение: сравнивается работа пиратской и лицензионной версий программы под одним и тем же вайном. > dxvk Gallium nine (нативный d3d9) и игры на opengl не пробовал запускать? Они нередко работают резче чем под виндой и дают больший фпс. Что касается инпут лага, то с ним ситуация из коробки во многих дистрибутивах печальная, особенно после прихода моды на композитный рендеринг окон. Но это не значит, что с этим нельзя ничего сделать.
> Вот где главная проблема линуха — в железе. Мне кажется, проблемы с железом никакой нет: существует достаточно железа, которое хорошо работает под линуксом. Возможно, это даже ОС с самой широкой поддержкой жезела. > в случае с линухом люди бнаружив что-то непонятное на нубуке для игр первым делом сносят его и ставят спермёрку с удобным пуском, даже не дав ему шанса. Погоди, какая цель у этих людей? Запуск предназначенных для венды программ чтобы решать с их помощью насущные задачи? Естественно, ебаться в этой ситуации с wine и изучать новые интерфейсы им не с руки.
Линуксу не надо «давать шанса», это не продукт и не услуга, а инструмент. Ты ведь не даёшь шанса молотку забить гвоздь? Ты берёшь и учишься, попадая себе по пальцам и загибая гвозди. Вопрос лишь в том, нужен ли этот инструмент конкретно тебе и готов ли ты приложить достаточно усилий к его изучению.
Настраиваю примитивную защиту от DDoS на nginx используя limit_req и fail2ban. Fail2ban постоянно проверяет логи (значит есть нагрузка в этом плане), есть ли возможность использовать какой-нибудь скрипт, который сразу будет отправлять IP в бан? Решил в какой-то момент использовать ipset (утверждают, что производительнее при большом кол-ве IP адресов), установил firewalld и ipset, сделал в конфиге fail2ban: banaction = firewallcmd-ipset IP с которого выполняю DDoS на свой сервер был в списке забаненных ipset, но никакой реакции за этим не следовало, пришлось вернуть: banaction = iptables-multiport Почему с firewallcmd-ipset могло не получиться? Оно выдаёт ещё какую-то ошибку при выполнении команды systemctl status filrewalld: 2021-02-03 10:28:09 ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore v1.8.2 (nf_tables): line 4: RULE_REPLACE failed (No such file or directory): rule in chain INPUT line 4: RULE_REPLACE failed (No such file or directory): rule in chain OUTPUT
2021-02-03 10:28:09 ERROR: COMMAND_FAILED: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore v1.8.2 (nf_tables): line 4: RULE_REPLACE failed (No such file or directory): rule in chain INPUT line 4: RULE_REPLACE failed (No such file or directory): rule in chain OUTPUT Однажды у меня сервер совсем перестал отвечать, пришлось выполнить iptables -F, оно начало работать, решил удалить firewalld и ipset на всякий случай (чёрная полоса началась в жизни), но теперь при перезагрузке сервер не отвечает на запросы до выполнения iptables -F. С чем это может быть связано? По ssh отвечает, а вот по http до выполнения iptables -F выдаёт ERR_TUNNEL_CONNECTION_FAILED. Какие знаете методики защиты от DDoS, статьи, есть годные книги? Ещё для защиты от DDoS скопировал данные настройки (которые не особо понимаю): ### ADDITIONAL ANTIDDOS net.ipv4.icmp_echo_ignore_all=1 net.ipv4.tcp_max_syn_backlog=2048 net.ipv4.tcp_synack_retries=1 net.ipv4.tcp_syncookies=1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.tcp_keepalive_time = 60 net.ipv4.tcp_keepalive_intvl = 10 net.ipv4.tcp_keepalive_probes = 5 #disable ipv6 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 ### SYSCTL -W net.ipv4.conf.all.rp_filter=1 net.ipv4.conf.all.accept_source_route=0 net.ipv4.conf.all.accept_redirects=0 net.ipv4.conf.all.secure_redirects=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.icmp_ignore_bogus_error_responses=1 net.ipv4.tcp_max_syn_backlog=4096 net.ipv4.tcp_max_orphans=65536 net.ipv4.tcp_fin_timeout=10 net.ipv4.tcp_keepalive_intvl=15 net.ipv4.tcp_keepalive_probes=5 net.core.netdev_max_backlog=1000 net.core.somaxconn=15000 net.ipv4.tcp_tw_reuse=1 net.ipv4.tcp_no_metrics_save=1 Итог: баню с помощью связки limit_req от nginx + fail2ban без ipset, после каждой перезагрузки сервера почему-то надо делать iptables -F.
Во, с этой проблемой: > теперь при перезагрузке сервер не отвечает на запросы до выполнения iptables -F справился с помощью удаления iptables-persistent.
Так все таки, как узнать сколько точно байтов резервирует функция VirtualAlloc(); из виртуальной памяти? Пишу 10 байтов, резервирует явно больше. Но сколько именно не знаю.
Здрасьте господа айтишники. Посоветуйте нормальный фаерволл в linux уровня приложений. Ну, такой как у любой домохозяйки на винде стоит. Чтобы можно было вот этому приложению запретить доступ в инет, а этому разрешить. Ну и новое приложение тоже не могло выйти в сеть, а когда пыталось выходила плашка мол так и так, разрешить или запретить?
Еще очень важно чтоб для обычного юзера, а не какой нить selinux, который целая система контроля доступа, созданная для правительственных учреждений и сложна в понимании. Ну и Debian based дистрибутив.
>>3730 (OP) > фаерволл в linux уровня приложений Нет такого. Даже поддержки разделения трафика по PID в netfilter нет. Есть network namespaces, что намного круче, но требует привелегий админа.
Как вариант где-то между можно использовать группы пользователей, для которых назначить правила фаервола (-m owner --gid-owner группа) и применять их при помощи sg (sg группа команда), либо sgid-бита на бинарии приложения.
Ответы:
Обхода блокировок и интернет-цензуры тред
Anonymous
No.45[Ответ]
Предлагаю в этом треде обсудить существующие способы обхода блокировок роскомпетуха, кто чем пользуется и кто что предпочитает. Так же хочу напомнить, что если вы не пользуетесь ничем для сокрытия своего трафика, российские провайдеры могут анализировать трафик пользователя, а с недавних пор должны его еще и сохранять для возможности покопаться в нем в будущем.
Почему Билл Гейтс до сих пор поддерживает всю эту свингер пати на своей платформе шиндувс? Почему уже 20 лет, даже петька из 6А может сделать склейку с исходников в виде рансома и с легкостью заразить не то, чтобы тысячи компов, а даже какие нибудь большие компании???! Антивирусы это вообще дичь, которые априори не способны выявлять качественные скрытые вирусы, да и им выгодны все эти вирусы и взломы. А Windows то что? Неужели самому биллу гейтсу это выгодно? Ведь Билл с легкостью может убрать 99% вирусов с помощью ввода сертификации кода, или чего ещё что не позволит творить дичь.
>>3703 (OP) >Неужели самому биллу гейтсу это выгодно? Еула читал? Майкрософт готова возместить ущерб на сумму не больше 20$ или около того. Процессы завязаны на винде, программы собраны под винду, обучают кадры на винде. Ну и куда ты денешься? Выгодно? А то! >Ведь Билл с легкостью может убрать 99% вирусов с помощью ввода сертификации кода Если бы всё было так просто. Дыра в программе проверки сертификатов и утекший корневой сертификат или хотя бы сертификат доверенного разработчика являются очевидными проблемами безопасности такой системы.
Дело такое, вкратце опишу. Хелп ми, нужен сайт с накруткой или люди, которые будут этим заниматься (естественно платно). Есть одно бесплатное приложение, регистрация в нём с номера телефона, задача такая: зайти на канал (в приложении) перейти по нескольким ссылкам, поставить лайк на каждое видео и уйти. С одного аккаунта ставить можно 1 лайк, если пользоваться сайтам по продаже номеров, то проставить их можно только с помощью ВПН, иначе не засчитают, наверное, какая-то защита у них. Так вот, кто сможет помочь, у кого какие идеи? (забыл сказать, это конкурс в приложении, чьё видео наберет больше лайков тот победил)
>>3660 (OP) Есть такой сайт, называется www.gazgovno.ru, там короче кабанчики с помощью силы пердежа решают вопросики, в т.ч. и накруткой сайтов для всяких пидорасов вроде тебя занимаются, просто платишь им 480 тысяч рублей и, бля, всё заебись потом нахуй.
Заходи на www.gazgovno.ru и начинай быть успешным челиком уже сегодня! Это самый, нахуй, крутой сайт, нахуй, среди всех, нахуй, крутых сайтов, нахуй. Нахуй, бля, сука.
Давай, гандон, слыш бля, не ссы, заходи на этот сайт. БЫСТРА, бля.
На рассмотрение Госдумы внесен законопроект о необходимости обеспечить автономную работу российского сегмента Интернета в случае, если доступа к зарубежным серверам не будет.
Данная инициатива предусматривает подготовку к возможному отключению Рунета от глобальной инфраструктуры Всемирной паутины. Законопроект может дать Роскомнадзору право централизованного управления сетями общей связи и Интернетом в случае угрозы безопасности из-за рубежа. Информация об этом размещена в электронной базе данных Госдумы.
В пояснительной записке подчеркивается, что это предложение выдвинуто «с учетом агрессивного характера стратегии национальной кибербезопасности США», где Россия среди прочих стран бездоказательно обвиняется в хакерских атаках.
Авторы законопроекта — глава комитета Совфеда по госстроительству Андрей Клишас, его первый заместитель Людмила Бокова и депутат Госдумы Андрей Луговой.
Законопроект определяет необходимые правила маршрутизации трафика и организация контроля их соблюдения. В сопроводительных документах говорится, что «создается возможность для минимизации передачи за рубеж данных, которыми обмениваются между собой российские пользователи». Для этого определят точки подключения российских сетей к зарубежным. «Их владельцы, операторы связи обязываются при возникновении угрозы обеспечить возможность централизованного управления трафиком», — говорится в пояснительной записке.
Кроме того, предполагается, что в российских сетях установят «технические средства» для определения источника трафика, которые при необходимости смогут «ограничить доступ к ресурсам с запрещенной информацией не только по сетевым адресам, но и путем запрета пропуска проходящего трафика».
Предполагается, что для работы Рунета в изолированном режиме будет создана национальная система DNS (система получения информации о доменных именах и или сетевых адресах).
>>3639 >на венде компилит хелло уорд 36 кб А ещё он не будет запускаться на другом компе без кучки dll, а если их статически слинковать то там сильно больше 36 кб будет.
В этом треде станем изучать PHP, можете вбрасывать статьи и книги. Пока что попробую спросить советов у анонимуса, у меня есть контроллеры (MVC https://ru.wikipedia.org/wiki/Model-View-Controller) у которых часто повторяются некоторые блоки кода (csrf-защита, требование подтвердить операцию, проверка прав), мне хочется сделать код компактным, для этого создаю в базовом контроллере что-то на уровне: public function csrf() { //код csrf защиты } и вставляю в контроллер public function pageAction() { try { isAdmin(); csrf(); superDuperProverka(); } catch(\Exception $e) { $this->response->error($e); } }
хочется сделать что-то ещё более компактное, тогда можно прямо в csrf() делать выброс ошибки (а не исключения!) с exit(). Какой способ самый лучший? И, да, этот вопрос не является для меня важным, так, для затравки, чтобы получился тред. Я могу в этих блоки кода добавлять только выбросы Exception, но тогда их нужно вылавливать, чтобы отобразить ошибку стильно или вообще страницу с кнопкой "подтвердить операцию". У меня есть повторяющиеся блоки кода, с которыми не знаю, что делать, какие метод лучше для сокращения. Может перемудрил? Проще будет найти где там Exception отображается в Symfony и изменить стандартную страницу ошибки? Так мне нужно сделать такое изменение конкретно для своих ошибок. Кнопку "подтвердите операцию" разве можно считать за Exception? Не знаю... Вот ещё вопрос для примера: у меня есть сервис repsonse, через который делаю в контроллере return $this->response->error(текст ошибки); $this->repsonse->ok(шаблон, массив с данными). Потом обратил внимание, что само Symfony такое делает через свой базовый контроллер (тот же $this->render()), может и мне лучше упразднить этот response и перенести методы в свой базовый контроллер с целью сокращению кода? Тогда получится $this->error(), $this->ok(), но с response лучше соблюдается правило с пространством имён.
>>3549 >templates/bundles/TwigBundle/Exception/error404.html.twig Если мне память не изменяет, никакой реакции на подобное не последовало, документацию то читаю, там про такое было (у меня своя реализация получилась). Впрочем, может забыл в prod окружении проверить.
Лол, в этот раз так же не получилось с помощью templates/bundles/TwigBundle/Exception/error404.html.twig изменить что-то, умудрённый долгим опытом кэширования в Symfony почистил каталог /cache/prod и оно заработало. Когда только начинал в Symfony разбираться не задумывался о каталоге с кэшем, поэтому всегда нулевой результат был на попытку кастомизировать страницы ошибок стандартным методом.
чо творю: /** CSRF-защита. */ public function ifCsrfWrongThrowException($method = 'POST', $var = 'token') { $method = strtoupper($method); if($this->config->get('csrf') == true) { switch($method) { case "POST": if(!isset($_POST[$var])) { throw $this->tokenNotSent(); } if (!$this->isCsrfTokenValid($var, $_POST[$var])) { throw $this->wrongToken(); } break; case "GET": if(!isset($_GET[$var])) { throw $this->tokenNotSent(); } if (!$this->isCsrfTokenValid($var, $_GET[$var])) { throw $this->wrongToken(); } break; } } }
/** Выбрасывает исключение, если метод отправки не является указанным в параметре $method. */ public function ifMethodWrongThrowException($method) { if($this->request->isMethod($method) == false) { throw $this->methodNotAllowed(array($method), $this->translator->trans('Метод отправки не является ') . $method . '.'); } }
/** Выбрасывает исключение, если метод отправки не является POST */ public function ifMethodNotPOSTThrowException() { if($this->request->isMethod('POST') == false) { throw $this->confirmationRequest(); } }
/** Капча. */ public function ifCaptchaWrongThrowException() { /** Если капчу не надо проверять, тогда сразу возвращает true. */ if($this->config->get('captcha') == false) { return true; } /** Проверка капчи. */ if(!isset($_POST['gregwar_captcha_value'])) { throw $this->captchaNotSent(); } if ($this->captchaSession->check($_POST['gregwar_captcha_value']) == true) { $this->captchaSession->delete(); } else { if($this->captchaSession->isActive() == true and $this->captchaSession->isCurrent($_POST['captcha_id']) == true) { throw $this->wrongCaptcha(); } else { throw $this->captchaIsOutOfDate(); } } return true; }
/** Выбрасывает исключение, если нету прав администратора. */ public function ifNotAdminThrowException() { if($this->auth->getAdmin() == false) { throw $this->notAdmin(); } }
/** Выбрасывает исключение, если нету прав администратора или модератора. */ public function ifNotAdminAndNotModThrowException($sectionId) { if($this->auth->getAdmin() == false and $this->auth->getMod($sectionId) == false) { throw $this->notAdminAndNotMod(); } } С функциями-трейтами пока завязал, теперь интереснее названия. Хочется сократить код, но при этом оставить читабельным... Кстати, насчёт требования подтвердить операцию так решил этот вопрос (error405.html.twig): {% extends "base.html.twig" %}
{% block body %} {% if app.request.method == 'GET' %} {{ include('include/confirmation.html.twig') }} {% else %} {{ exception.getMessage }} {% endif %} {% endblock %} пока ничего ещё не тестировал.
подробности: /** 400 */
/** Плохой запрос. */ public function badRequest($message = null) { if($message == null) { $message = $this->translator->trans('Плохой запрос.'); } return new Exception\BadRequestHttpException($message); }
/** Неправильно введена капча. */ public function wrongCaptcha() { return $this->badRequest($this->translator->trans('Неправильно введена капча.')); }
/** Капча устарела. */ public function captchaIsOutOfDate() { return $this->badRequest($this->translator->trans('Капча устарела.')); }
/** Капча не отправлена. */ public function captchaNotSent() { return $this->badRequest($this->translator->trans('Капча не отправлена.')); }
public function wrongToken() { return $this->badRequest($this->translator->trans('Неправильный токен.')); }
public function tokenNotSent() { return $this->badRequest($this->translator->trans('Токен не отправлен.')); }
/** 403 */
/** Доступ запрещён. */ public function forbidden($message = null) { if($message == null) { $message = $this->translator->trans('Доступ запрещён.'); } return new Exception\HttpException(403, $message); }
/** Доступ запрещён. */ public function error403($message = null) { return $this->forbidden($message); }
/** Требуются права администратора. */ public function notAdmin($message = null) { if($message == null) { $message = $this->translator->trans("Для выполнения операции требуются права администратора."); } return $this->permissionDenied($message); }
/** Требуются права модератора. */ public function notAdminAndNotMod($message = null) { if($message == null) { $message = $this->translator->trans("Для выполнения операции требуются права модератора или администратора."); } return $this->permissionDenied($message); } /** 405 */
/** Метод не поддерживается. */ public function methodNotAllowed($allow = array(), $message = null) { if($message == null) { $message = $this->translator->trans('Метод не поддерживается.'); } return new Exception\MethodNotAllowedHttpException($allow, $message); }
/** Метод не поддерживается. */ public function error405($allow = array(), $message = null) { return $this->methodNotAllowed($allow, $message); }
/** Требование подтвердите операцию отправив данные методом POST. */ public function confirmationRequest($message = null) { if($message == null) { $message = $this->translator->trans('Подтвердите операцию отправив данные методом POST.'); } return $this->methodNotAllowed(array('POST'), $message); }
