[GTER] SQUID squid-3.1.0.14 + TPROXY

[Renato Murilo Langona]

Herbert, apenas foi citado o "user-forced", foi descrito o que o 
configure retorna utilizando a opcao de FD sem alteracao do kernel... 
Nao foi comentado nada sobre "erro" ou "problema", apenas a diferenca de 
quando o configure obtem os dados diretamente ou utilizando a opcao na 
linha...

Sobre seguranca do sistema aumentado limites no source, nao consigo 
enxergar esse problema, ja que vc, via sysctl ou ulimit, consegue 
alterar on-the-fly para qualquer aplicacao sem essa modificacao, como 
foi possivel com o squid, correto? Gerar um DoS local seria possivel de 
qualquer forma... Eh tudo uma questao de administrar os limites, com ou 
sem teto ou default maior...
Na verdade, aumentando o teto na fonte, vc nao perde o poder do limits. 
Continua tudo da mesma forma...

Eh uma questao de costume mesmo, porem, como ja mencionei no outro 
reply,  NAO alterar as fontes do kernel eh uma solucao mais elegante e 
bem melhor para documentacao, assim como para implementacao em larga 
escala...

Abs!

Herbert Faleiros escreveu:
> 2009/11/21 Renato Murilo Langona <renato at linuxsecurity.com.br>:
>   
>> O user forced eh retornado pelo script configure:
>>     
>
> OK, mas isso não é um erro (ou problema). Consta inclusive no FAQ do
> Squid (e é indicado).
>
> # ulimit -HSn 65536
> # ./configure --with-filedescriptors=65536 2>/dev/null | grep user-forced
> checking Maximum number of filedescriptors we can open... 65536 (user-forced)
>
> "Patchear" o Kernel por conta disso só na época do 2.2.x. Além do mais
> setar limites altos p/ todo o sistema não é lá muito seguro.
>
> --
> Herbert
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>