主頁 高登熱話 吃喝玩樂 科技消費 名人專訪 短片
現有會員可[按此]登入。未成為會員可[按此]註冊。
[公司模式 - 關]  [懷舊模式 - 開
[Youtube 預覽 - 關]  [大字型]  [小字型]

您現在聚腳在 軟件台內。

有關整合forum 1~15事宜

高登討論區定於下星期三(14/6)將forum1~15整合為http://forum.hkgolden.com,屆時有部分未獲授權的第三方app與瀏覽器plugin或會受到影響。不便之處,敬請原諒。
精選文章
DeerGamer
New App Android IOS
高登主頁 » 討論區 » 軟件台

Locked 此貼文已鎖,將不接受回覆。

跳至第

發起人
Linux 高登集中討論post (#6)|打到機|xz被殖入backdoor
1001 個回應

冇直接責任, 但Systemd最大問題係乜都管
attack surface大就梗架喇, 不過依家慘左佢既alternative唔夠feature complete

你覺得依單嘢算唔算係open source 醜聞?

兒登有人話
應該要俾人睇code, 因為要有透明度
但唔可以open source, 比外人有edit right 亂commit
Windows就做得好, 因為得M$有edit right
幾獨特嘅見解

佢有point, 不過D term有D問題

open source係一種特定license, 指外人有權免費拿D code去任用, 包括商業用途, 係唔關外人有冇權edit事
有唔少open source講明不接受外人commit, 唔鐘意個發展方向有權fork, 呢D一樣係open source

唔open source就變左係souce available, souce available就係指眼看手勿動
權利同properitery software一樣
但就冇properitery software既缺點


睇埋佢其他reply, 其實佢以為open source = 個個可以edit, 係理解錯個新聞
xz入backdoor個個係co-maintainer, 所以先有right, 佢唔係任何人, 佢係得到原本developer既「信任」


睇埋佢其他reply, 其實佢以為open source = 個個可以edit, 係理解錯個新聞
xz入backdoor個個係co-maintainer, 所以先有right, 佢唔係任何人, 佢係得到原本developer既「信任」

即係而家最大個問題其實唔係edit right
而係identify 唔到呢個co-maintainer嘅真實身份

呢單野令我諗起EU想通過嗰條cyber resilience act
如果通過咗,個maintainer可能破產都唔掂


睇埋佢其他reply, 其實佢以為open source = 個個可以edit, 係理解錯個新聞
xz入backdoor個個係co-maintainer, 所以先有right, 佢唔係任何人, 佢係得到原本developer既「信任」

即係而家最大個問題其實唔係edit right
而係identify 唔到呢個co-maintainer嘅真實身份

呢單野令我諗起EU想通過嗰條cyber resilience act
如果通過咗,個maintainer可能破產都唔掂

係,如果個software 係employee edit only, 咁就比較大機會捉到凶手

但大份部份open source software都係anonymous,依個絕對唔係佢嘅缺點嚟。但我會擔心囉


睇埋佢其他reply, 其實佢以為open source = 個個可以edit, 係理解錯個新聞
xz入backdoor個個係co-maintainer, 所以先有right, 佢唔係任何人, 佢係得到原本developer既「信任」

即係而家最大個問題其實唔係edit right
而係identify 唔到呢個co-maintainer嘅真實身份

呢單野令我諗起EU想通過嗰條cyber resilience act
如果通過咗,個maintainer可能破產都唔掂

呢條law有D印象, 再查返, 其實已經改良左, 基本上完全唔apply呢個case
https://berthub.eu/articles/posts/eu-cra-what-does-it-mean-for-open-source/


終於齊曬料搞mini nas
truenas抵Hi麼


https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b
age個作者話有條key hardcode咗落去個backdoor度
即係萬能匙
有條匙就RCE run乜都得[sosad]
如果唔係用條萬能key連線, sshd就會正常運作返[banghead]

https://github.com/amlweems/xzbot
ed448 patch: patch liblzma.so to use our own ED448 public key

有人patch咗用自己條key玩個後門[sosad]


終於齊曬料搞mini nas
truenas抵Hi麼

用咩料#adore#


睇埋佢其他reply, 其實佢以為open source = 個個可以edit, 係理解錯個新聞
xz入backdoor個個係co-maintainer, 所以先有right, 佢唔係任何人, 佢係得到原本developer既「信任」

即係而家最大個問題其實唔係edit right
而係identify 唔到呢個co-maintainer嘅真實身份

呢單野令我諗起EU想通過嗰條cyber resilience act
如果通過咗,個maintainer可能破產都唔掂

呢條law有D印象, 再查返, 其實已經改良左, 基本上完全唔apply呢個case
https://berthub.eu/articles/posts/eu-cra-what-does-it-mean-for-open-source/

#good# #good# #good# #good# #good#


睇埋佢其他reply, 其實佢以為open source = 個個可以edit, 係理解錯個新聞
xz入backdoor個個係co-maintainer, 所以先有right, 佢唔係任何人, 佢係得到原本developer既「信任」

即係而家最大個問題其實唔係edit right
而係identify 唔到呢個co-maintainer嘅真實身份

呢單野令我諗起EU想通過嗰條cyber resilience act
如果通過咗,個maintainer可能破產都唔掂

係,如果個software 係employee edit only, 咁就比較大機會捉到凶手

但大份部份open source software都係anonymous,依個絕對唔係佢嘅缺點嚟。但我會擔心囉

其實有唔少人講返故事, 個hobby project冇心機理, 交左比D熱心人, 會發生咩事
有一個反而係個熱心人搞大左個project, 又有拿左個project之後就踢走左個原作者
有辣有唔辣, 所以交權比個anonymous既人搞本來就係open source既精神
因為有部分hacker想exploit呢個遊戲, That's why we can't have nice things


終於齊曬料搞mini nas
truenas抵Hi麼

冇實際玩過, 以前只係用過debian server都夠用, 因為我冇特別要求

用freebsd係因為想玩zfs, 用linux就可以用btrfs
truenas = freebsd nas distro, 有晒現成webui同其他工具裝完即用
linux based就有openvaultmedia, 係debian底

邊個好用就唔知, 冇實際玩過


終於齊曬料搞mini nas
truenas抵Hi麼

冇實際玩過, 以前只係用過debian server都夠用, 因為我冇特別要求

用freebsd係因為想玩zfs, 用linux就可以用btrfs
truenas = freebsd nas distro, 有晒現成webui同其他工具裝完即用
linux based就有openvaultmedia, 係debian底

邊個好用就唔知, 冇實際玩過

如果係arm底版就一定要linux, 因為freebsd/truenas得x86/x64


終於齊曬料搞mini nas
truenas抵Hi麼

冇實際玩過, 以前只係用過debian server都夠用, 因為我冇特別要求

用freebsd係因為想玩zfs, 用linux就可以用btrfs
truenas = freebsd nas distro, 有晒現成webui同其他工具裝完即用
linux based就有openvaultmedia, 係debian底

邊個好用就唔知, 冇實際玩過

其實linux係咪都有zfs
喺linux用會唔會有咩問題


終於齊曬料搞mini nas
truenas抵Hi麼

冇實際玩過, 以前只係用過debian server都夠用, 因為我冇特別要求

用freebsd係因為想玩zfs, 用linux就可以用btrfs
truenas = freebsd nas distro, 有晒現成webui同其他工具裝完即用
linux based就有openvaultmedia, 係debian底

邊個好用就唔知, 冇實際玩過

其實linux係咪都有zfs
喺linux用會唔會有咩問題

out of tree kernel, update炒左就睇唔返harddisk咁囉


終於齊曬料搞mini nas
truenas抵Hi麼

冇實際玩過, 以前只係用過debian server都夠用, 因為我冇特別要求

用freebsd係因為想玩zfs, 用linux就可以用btrfs
truenas = freebsd nas distro, 有晒現成webui同其他工具裝完即用
linux based就有openvaultmedia, 係debian底

邊個好用就唔知, 冇實際玩過

其實linux係咪都有zfs
喺linux用會唔會有咩問題

out of tree kernel module, update炒左就睇唔返harddisk咁囉



終於齊曬料搞mini nas
truenas抵Hi麼

冇實際玩過, 以前只係用過debian server都夠用, 因為我冇特別要求

用freebsd係因為想玩zfs, 用linux就可以用btrfs
truenas = freebsd nas distro, 有晒現成webui同其他工具裝完即用
linux based就有openvaultmedia, 係debian底

邊個好用就唔知, 冇實際玩過

如果係arm底版就一定要linux, 因為freebsd/truenas得x86/x64

料就用arm嘅sbc
但記得true nas支援open zfs同可以用docker實裝


終於齊曬料搞mini nas
truenas抵Hi麼

冇實際玩過, 以前只係用過debian server都夠用, 因為我冇特別要求

用freebsd係因為想玩zfs, 用linux就可以用btrfs
truenas = freebsd nas distro, 有晒現成webui同其他工具裝完即用
linux based就有openvaultmedia, 係debian底

邊個好用就唔知, 冇實際玩過

如果係arm底版就一定要linux, 因為freebsd/truenas得x86/x64

料就用arm嘅sbc
但記得true nas支援open zfs同可以用docker實裝

truenas原來分兩隻, freebsd based個個以前叫freenas, 依家變做truenas core

有個debian based叫truenas scale, 就係你講個隻truenas
不過唔太知好唔好用, 因為好似係新product(相對)


reddit有人咁講
https://old.reddit.com/r/OpenMediaVault/comments/xl5tiz/openmediavault_vs_truenas_scale/iphqezp/
真既話truenas scale好似麻麻, 唔係freebsd用佢D tool冇乜意思


reddit有人咁講
https://old.reddit.com/r/OpenMediaVault/comments/xl5tiz/openmediavault_vs_truenas_scale/iphqezp/
真既話truenas scale好似麻麻, 唔係freebsd用佢D tool冇乜意思

感覺似Firefox轉quantum果陣嘅問題咁


#ng#
https://upload.hkgolden.media/comment/o042esqk.sfhasy5fz5e.axtcdniyzrh.htg.png



終於齊曬料搞mini nas
truenas抵Hi麼

冇實際玩過, 以前只係用過debian server都夠用, 因為我冇特別要求

用freebsd係因為想玩zfs, 用linux就可以用btrfs
truenas = freebsd nas distro, 有晒現成webui同其他工具裝完即用
linux based就有openvaultmedia, 係debian底

邊個好用就唔知, 冇實際玩過

砌咗部NAS, 用過OMV, 之後轉返Fedora Server
因為部嘢要做唔止NAS嘢,要負責養SCSI scanner 加埋錄電視
OMV對其他功能個支援麻麻
同埋佢最底層個file system架構太抽象[sosad]

前兩個post我都間中提過呢部嘢O:-)


諗下都係用返omv配ZFS plugin好似保險啲
至少唔食RAM又夠多plugin支援



冇直接責任, 但Systemd最大問題係乜都管
attack surface大就梗架喇, 不過依家慘左佢既alternative唔夠feature complete

sysvinit/OpenRC *, xinetd, cron等,udev
要 service dependency 就用shell script

我漏咗啲乜嘢?


* Upstart好似已經廢棄咗[sosad]

https://youtu.be/vV_WdTBbww4
另外開始有人解讀個後門實際想做乜


早排自己compile 過個新內核畀部x230,諗住試下用kexec轉, 點知部嘢隻碟猛郁,窒到一個點,reboot入systemrescue搞咗兩輪,最後發現原來係隻SSD要trim, 做完就順返

即係今次無得試

[sosad]cl



冇直接責任, 但Systemd最大問題係乜都管
attack surface大就梗架喇, 不過依家慘左佢既alternative唔夠feature complete

sysvinit/OpenRC *, xinetd, cron等,udev
要 service dependency 就用shell script

我漏咗啲乜嘢?


* Upstart好似已經廢棄咗[sosad]

https://youtu.be/vV_WdTBbww4
另外開始有人解讀個後門實際想做乜

https://skarnet.com/projects/service-manager.html
一般用唔覺分別太大, 具體你聽佢講, 主要係service dependency support


跳至第

高登主頁 » 討論區 » 軟件台

Locked 此貼文已鎖,將不接受回覆。



  快速回覆 - 輸入以下項目

本討論區現只接受會員張貼文章,本站會員請先登入。非會員人仕,您可以按此加入為新會員,費用全免,並可享用其他會員服務。


上次光臨時間: 18/6/2024 16:30
今天貼文總數: 515 | 累積文章數目: 7,269,215

聯絡我們 | 服務條款 | 私隱政策 | 廣告查詢 | 職位空缺
Copyright © 2024 HKGolden.com. All Rights Reserved.