metaclass | QR код в systemd

Айсед вынудил таки почитать, что за QR код сунул поттеринг в systemd: http://lwn.net/Articles/512895/

На данный момент то что там описано, для меня выглядит как жуткий security theater:
* 15 минут подписи логов по умолчанию. Это овердохера - аттакер в среднем имеет 7.5 минут чтобы стереть из текущего неподписанного лога свое присутствие
* мутный алгоритм брата поттеринга
* возможность проебать старый ключик в памяти-свопе
* возможность просто нахрен вытереть логи - и вся информация, которая у нас останется это "логи кем-то были стерты".

Flat | Top-Level Comments Only

From:

sergei-d.livejournal.com

> * мутный алгоритм брата поттеринга

родственников в бизнес потащил? :)

From:

abbra

Попробуй все-таки изучить алгоритм брата Поттеринга, может и не будешь таким мутным.

From:

metaclass.livejournal.com

А, алгоритму таки криптографы аудит провели?

From:

tzirechnoy.livejournal.com

Вряд ли. Братец статью пока толкнул только на какой-то мутной конфе (если вообще), текста в сети нет.
Ковырять systemd вряд ли у кого есть жэлание.

Впрочем, там всё можно сделать довольно банально, так что вряд ли тут он нарвался.

From:

abbra

Вот полная статья, "братец" там не один автор: http://eprint.iacr.org/2011/673

Из последних работ "братца" -- совместная статья с djb о RC4 в TLS: http://www.isg.rhul.ac.uk/tls/

From:

kisaiosya.ya.ru (from livejournal.com)

Abbra! И этому человеку так верили, а он -- поттерингаст?

From:

norian.livejournal.com

"that can be changed at key generation time with a flag: "--interval=10s" for example"

выживают только параноеги (с)

From:

aamonster.livejournal.com

"Алгоритм братца", зная основы криптографии и (как подсказку) устройство OTP-MD5, можно переизобрести за 10 минут. И устойчивость будет определяться устойчивостью алгоритма асимметричной криптографии (и цифровой подписи).
Подсказка: как получить цепочку невнятных чисел так, что с открытым ключом можно по ней двигаться в одну сторону (из x(n) в x(n+1)), а с закрытым в другую (из x(n+1) в x(n))?

From:

grey-kristy.livejournal.com

да фиг с ней с подписью и безопасностью. Сама по себе идея бинарных логов вызывает у меня чувство стойкого отвращения

From:

develop7

а зачем нужны именно текстовые логи?

From:

nealar.livejournal.com

Для упрощения разбора и выцепления нужной инфы постфактум.

From:

develop7

да
вот нужно например узнать дату/время неудачных попыток залогиниться по ssh
кошерный и юниксвейный syslog считает, что показаний системных часов достаточно, чтобы однозначно идентифицировать время события
раздутый и переинженернутый journald пишет в нечитаемый юниксвейным catом бинарник показания часов + monotonic timestamp, тем самым страхуя нас от всяких неожиданностей вроде DST или leap second
кошерный и юниксвейный syslog пишет в файл тупо строку, из которой ещё а) надо выдрать IP б) формат которой может меняться при апгрейде. Само собой, каждый интегратор пишет регэкспы для парсинга сам.
раздутый и переинженернутый journald поддерживает произвольные поля в сообщении лога, куда клиент (ssh-сервер в нашем случае) может складывать любую потенциально интересную информацию (IP, reverse hostname, public key и т.п. в нашем случае)
ну и да, любому недоумку очевидно, что смотрелки текстовых файлов cat и less весом 47 и 155 Кб помещаются на аварийную ~~дискету~~ флешку, а вот journalctl (смотрелка логов journald) весом 151 Кб — уже нет.

Edited Date: 2013-12-20 02:14 pm (UTC)

From:

rdia.livejournal.com

Вообще-то "текстовые логи", как известно, тоже бинарные. Всё, что на компутере есть - это числа.

Тем не менее, отличие "текстовых логов" от "бинарных" есть. Это набор инструментов для работы. У "текстовых" - миллион различных редакторов, включая поточные, лёгкая поддержка в языках общего назначения.

У "бинарных" - сами можете перечислить. А зная любовь П. к модернизации без сохранения обратной совместимости, можете прикинуть время жизни "бинарных" логов до полного протухания инструментов считывания.

From:

develop7

смотреть лог в редакторе? но зачем?

лёгкая поддержка в языках общего назначения

поддержка логирования или чтения? inb4: journald умеет прикидываться syslogd

можете прикинуть время жизни "бинарных" логов до полного протухания инструментов считывания.

Неа, не могу, т.к. не знаком с проявлениями любви П. к ломанию BC. Не затруднит ли вас поделиться ссылками на?

From:

rdia.livejournal.com

> смотреть лог в редакторе? но зачем?

Круто! Дальше нам с вами беседовать не о чем.

From:

develop7

«ну и отлично»©

From:

inkelyad.livejournal.com

Тем не менее, отличие "текстовых логов" от "бинарных" есть. Это набор инструментов для работы. У "текстовых" - миллион различных редакторов, включая поточные, лёгкая поддержка в языках общего назначения.

Отличие ровно в одной операции.

<имя конвертера> < банарный_лог > текстовый лог. А дальше все как обычно.
Причему вызвать это можно и изнутри языка общего назначения - потоки ввода-вывода еще не отменяли.

From:

rdia.livejournal.com

Вы не учитываете хрупкость этой операции. Скажем, есть ли этот "имя конвертора" под Windows? А под MacOSX?

А вы уверены, что формат не будет меняться? Что конвертор не вылетит на логах со специфическими повреждениями структуры? (файловые системы, как и жесткие диски не идеальны)

From:

serbod.livejournal.com

Сислог - штука гибкая. Любой формат даты, структурированный текст сообщения. И это в "старом", BSD формате. В новом еще лучше. Просто многим это нафиг не надо. Произвольные поля? Почитайте уже RFC 5424.

Смотрелки могут быть на самом деле синонимом какого-нибудь BusyBox.

From:

develop7

Поправьте меня, если я ошибаюсь: одно из важных отличий *syslogd от journald в том, что первый кладёт в логи не всю доступную ему информацию о событии.

Любой формат даты

~~таки що там с monotonic timestamp?~~ага, вроде как наколхозить можно

Произвольные поля? Почитайте уже RFC 5424.

Я правильно понимаю, что по умолчанию их значения всё равно не попадают никуда?

Смотрелки могут быть на самом деле синонимом какого-нибудь BusyBox.

то есть проблема на самом деле в том, что класть journalctl, как и less, в busybox Не Принято, так?

Edited Date: 2013-12-22 08:41 pm (UTC)

From:

permea-kra.livejournal.com

Абстрактно-бинарный лог не нужен, поскольку его могут смотреть с разных платформа, где данные в логи сериализуются по-разному. А если добиваться стандартизированного, независимого от машинных забубонов формата, то взять текстовый ничуть не сложнее.

Хотя в идеале, конечно, логи должны складываться в базу.

From:

develop7

его могут смотреть с разных платформа, где данные в логи сериализуются по-разному

ну как бы и смотрелка и логер должны знать endianess платформы, на которой они выполняются, не?

если добиваться стандартизированного, независимого от машинных забубонов формата, то взять текстовый ничуть не сложнее.

было бы здорово подкрепить этот тезис примерами из реального мира

в идеале, конечно, логи должны складываться в базу

а файлы .journal и есть по сути schemaless БД.

From:

permea-kra.livejournal.com

>ну как бы и смотрелка и логер должны знать endianess платформы, на которой они выполняются, не?

а) endianess возможные глюки не исчерпываются. б) Заранее неизвестно, с какой платформы будут смотреть.

> schemaless БД.

Пожалуйста, не материтесь в приличном обществе.

>было бы здорово подкрепить этот тезис примерами из реального мира

Эм... Я затрудняюсь подкрепить примерами самоочевидный тезис.

From:

develop7

а) endianess возможные глюки не исчерпываются. б) Заранее неизвестно, с какой платформы будут смотреть.

а для неизвестной целевой платформы есть http://www.freedesktop.org/wiki/Software/systemd/export/

Пожалуйста, не материтесь в приличном обществе.

уверен, разработчики PostgreSQL охотно выслушают ваши аргументированные возражения и немедленно выкинут hstore

Я затрудняюсь подкрепить примерами самоочевидный тезис.

поправьте меня, если я ошибаюсь: вы называете тезис самоочевидным, но не знаете никого, кто так делает. Я ничего не упускаю?

From:

permea-kra.livejournal.com

>а для неизвестной целевой платформы
Ну так почему нельзя сразу текстовый формат использовать?

>уверен, разработчики PostgreSQL
Разработчики постргреса большие мальчики и ограничения hstore они знают.

>поправьте меня,
Поправляю: когда у человека спрашивают 'покажи белый снег', стоя посередине заснеженного поля, как-то затруднительно решить, во что ткнуть пальцем. Потому что если не видно сразу, то скорее всего не увидят и после тыканья.

From:

develop7

почему нельзя сразу текстовый формат использовать?

а) «чтобы быстрее и проще писать лог и фильтровать его» подойдёт? б) export format не полностью текстовый — читайте внимательно про представление блобов

Разработчики постргреса большие мальчики

Ну Это Же Совсем Другое Дело

Поправляю

По-моему, просто ~~вертите жо~~юли́те. Иначе трактовать некорректную аналогию вместо прямого ответа на прямой вопрос я затрудняюсь.

From:

permea-kra.livejournal.com

а) нет. б) плохо. А мог быть текстовой.

==

==

Аналогия как раз корректная.

From:

develop7

А мог быть текстовой.

зачем?

From:

permea-kra.livejournal.com

А зачем бинарный? Какие у него объективные преимущества?

From:

develop7

с бинарным логом объективно проще работать — требуется тупо меньше кода. Но вы не ответили на мой вопрос.

From:

metaclass.livejournal.com

А не однохренственно? Любая сериализация/десериализация структурированных данных, что в текст, что в бинарники - проклятая тема. Особенно если заморачиваться хоть какой обратной совместимостью и вообще живучестью формата данных.

From:

develop7

А не однохренственно?

с т.з. юзера — да. С т.з. стоимости поддержки и разработки — нет, т.к. текст нужно прочитать, распарсить, десериализовать и только потом с данными что-то делать. И это я молчу про оверхед. Было бы однохренственно, всякие СУБД хранили бы данные в файлах вида

+----+-------+------+----------------------+
| ID | title | body | created_at           |
+----+-------+------+----------------------+
| 1  | arr   | 123  | 2013-12-12T12:34:56Z |
+----+-------+------+----------------------+

Нуачо, самое главное же чтобы читалось нормально, да?

Олсо сложность seeking по plaintext — минимум O(n), по journal — O(log(n)*log(n))…O(n) (зависит от поля, по которому фильтруем).
Export format обратно совместим, JSON обратно совместим. Сам .journal — предположительно нет, и внезапно быть таковым не обязан.

Edited Date: 2013-12-31 12:50 pm (UTC)

From:

permea-kra.livejournal.com

Кода для *кроссплатформенно* сериализованного лога требуется сопоставимо. Для текста есть стандартные инструменты - cat, tail, head, wc, grep, awk, etc. Для бинарного их нет, в лучшем случае есть конвертор, которого может не быть на том, на чем приходится смотреть/анализировать логи.

From:

develop7

Кода для *кроссплатформенно* сериализованного лога требуется сопоставимо

откуда вы знаете, если вы так и не привели ни одного примера?

Для бинарного их нет, в лучшем случае есть конвертор

Показательно, что вы по-прежнему не даёте себе труда изучить критикуемый инструмент и вследствие чего несёте чушь. journalctl — не «конвертор в текст», а CLI-обёртка над библиотекой libsystemd-journal, которая как раз и выдирает из логов .journal информацию.

которого может не быть на том, на чем приходится смотреть/анализировать логи.

разве что из политических, а не рациональных соображений — исходники-то открыты

Edited Date: 2014-01-01 10:47 am (UTC)

From:

permea-kra.livejournal.com

>откуда вы знаете,

Я писал сериализацию-десериализацию ручками.

> journalctl — не «конвертор в текст», а CLI-обёртка

Т.е. вместо простого и понятного конвертора (а еще лучше - просто текстовых логов) предлагается изучать еще одну утилиту. Это ж как надо ненавидеть себя и людей.

>разве что из политических, а не рациональных соображений — исходники-то открыты

Тем не менее, проблема существует.