Re: FW: Kernel dla sarge
Był 15 gru 2005 (czwartek), godz 01:39:51 +0100. Wtedy Marek Olejniczak napisał(a): > Niepotrzebnie :-) Ja od lat jestem miłosnikiem Debiana, co jednak nie > oznacza, że wszystko przyjmuję bezkrytycznie. Taki już mam charakter, że > szukam dziury w całym ;-) To chyba tak, jak wszyscy biorący udział w tej rozmowie. ;-) pozdrawiam -- Artur Dulęba | gpg:0x5F938547 | rlu:305151 Olbrachcice Wielkie, 57-200, Dolny Śląsk Uniksy od marca 2001, od 2003 bez Windows Używam Debiana, bo jest zwykły (zamiast być extra). signature.asc Description: Digital signature
Re: FW: Kernel dla sarge
On Thu, 15 Dec 2005, Marek Zakowicz wrote: Piękne zakończenie :) Żeby radość nasza była pełniejsza dodam, że jest od wczoraj dostępna nowa aktualizacja paczki kernel-source-2.6.8 (http://packages.qa.debian.org/k/kernel-source-2.6.8.html) Hee hee ... Czyli miałem rację, że 2.6.8 jest dziurawe :-) Chłopaki z debian-security chyba czytali ten nasz wątek i postanowili sie poprawic ;-) Jeszcze raz pozdrowienia dla wszystkich! Marek
Re: FW: Kernel dla sarge
On Thu, 15 Dec 2005, Marek Olejniczak wrote: Dziękuję wszystkim za rzeczową dyskusję - uważam, że w części każdy z Was miał rację. Ze swej strony kończę już ten wątek,[...] Piękne zakończenie :) Żeby radość nasza była pełniejsza dodam, że jest od wczoraj dostępna nowa aktualizacja paczki kernel-source-2.6.8 (http://packages.qa.debian.org/k/kernel-source-2.6.8.html) Pozdrawiam, Marek -- "Wszystkiego jest mało, niczego jest w bród" Raz, Dwa, Trzy
Re: FW: Kernel dla sarge
Marek Olejniczak napisał(a): > On Thu, 15 Dec 2005, Jacek Kawa wrote: > > > > Niepotrzebnie :-) Ja od lat jestem miłosnikiem Debiana, co jednak nie > oznacza, że wszystko przyjmuję bezkrytycznie. Taki już mam charakter, że > szukam dziury w całym ;-) > > Ten watek mógłbym jeszcze długo ciągnąć rozszerzając jego zakres > tematyczny, tylko po co? :-) > > Dziękuję wszystkim za rzeczową dyskusję - uważam, że w części każdy z > Was miał rację. Ze swej strony kończę już ten wątek, chyba że zostanę > wywołany do tablicy :-) > Hehe :) nie ma to jak dobry EOT :) tym samym: EOT :D -- Pozdrawiam, |Wojciech Ziniewicz [EMAIL PROTECTED] |Wanna gmail? http://silenceproject.org |:E PGP fingerprint : E8AF DDCB 0E67 704A 4592 E94C A463 1663 7929 EF02 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: FW: Kernel dla sarge
On Thu, 15 Dec 2005, Jacek Kawa wrote: To samo pytanie można postawić w przypadku kernela 2.4.27 Można, ale osobiście drażni mnie ton tego wątku. Niepotrzebnie :-) Ja od lat jestem miłosnikiem Debiana, co jednak nie oznacza, że wszystko przyjmuję bezkrytycznie. Taki już mam charakter, że szukam dziury w całym ;-) Ten watek mógłbym jeszcze długo ciągnąć rozszerzając jego zakres tematyczny, tylko po co? :-) Dziękuję wszystkim za rzeczową dyskusję - uważam, że w części każdy z Was miał rację. Ze swej strony kończę już ten wątek, chyba że zostanę wywołany do tablicy :-) Pozdr. Marek
Re: FW: Kernel dla sarge
Jak podają anonimowe źródła, przepowiedziano, że Marek Olejniczak napisze: > >1. > >http://kernel.debian.net/debian/pool/main/kernel-image-2.6.8-i386/ > Zajrzałem: tam są pakiety kernela deb 2.6.8 zbudowane 16 sierpnia 2005, > czyli jest to oficjalne jądro 2.6 Debiana. http://wiki.debian.org/DebianKernelSecurity DebianKernelSecurity The Debian Kernel Team owns security support for Debian kernels in unstable and testing. Security fixes to kernels in stable are managed by the Debian Security Team. Like with any other Debian packages, users should not assume that all known security issues have been fixed in the unstable and testing versions. Less severe issues may be committed into svn but not uploaded until some more significant event triggers a release. Fixes that change the ABI maybe delayed to avoid breaking an existing release of DebianInstaller. [...] > Przeczytałem pierwszy link jaki wyrzuciło Google, a był to link > > http://lists.debian.org/debian-kernel/2005/10/msg00297.html zgadza się > Zajrzałem też na [...] > i wciąż nie rozumiem dlaczego uważa się, że debianowe jądro 2.6.8 jest > bezpieczne. Z linku > http://lists.debian.org/debian-kernel/2005/10/msg00297.html > wynika tylko tyle, że niektóre z łat na dziury w kernelu 2.6.13.4 (który > okazał się 10. pażdziernika 2005) przeniesiono do debianowego kernela > 2.6.8 i te łaty umieszczono w Subversion. Wynika z niego, że: 1. nie wszystkie poprawki wymagają portowania i jakaś szczególnie- straszna-dziura w 2.6.13 nie musi w ogóle istnieć w 2.6.8 2. wersja w stable nie jest zapomniana, wbrew sugestiom Dodatkowo - jeśli nie ukazała się wersja poprawiona, to znaczy że żadna z tych dziur nie była wystarczająco poważna[*] zdaniem security team. Ufasz tym ludziom z całą resztą swoich programów, serwerów itp. (a jeśli nie ufasz, to co za różnica?) [*] to oczywiście można interpretować conajmniej dwojako i różnie się z tym czuć, ale widocznie nie pojawił się dotychczas żaden exploit/wykorzystanie dziury jest możliwe w 1 przypadku na 1. [portowanie poprawek do wersji z sierpnia] > To raczej niemożliwe, Miałem zamiar raczej wskazać, że istnieje specjalna grupa, która się tym zajmuje i że w ogóle te poprawki są gdzieś zbierane. Ale ok. > chyba że założymy iż developerzy debiana potrafią > podróżować w czasie ;-) Ja potrafię, w jedną stronę, ale zawsze :P > Od 16.sierpnia (daty utworzenia pakietów deb dla 2.6.8) pojawiło się 6 > komunikatów informujących o 11 błędach w kernelach serii 2.6.x, można to > zobaczyc np. tu: > > http://www.frsirt.com/english/vuln.php?search=linux+kernel Odfiltruj proszę te, które nie dotyczą 2.6.8. Potem te, które są local denial of service while moonlight. [...] > We wspomnianym czasie Ubuntu (dystrybucja bazująca na debianie) wydała już > 5 poprawionych wersji jądra, także jądra 2.6.8 ktore ma ubuntu 4.10. Tego nie jestem pewien, ale czy akurat do jądra Ubutu nie wciska tysięcy poprawek, żeby obsłużyć sterowniki NVidii, resierfs4, itp? > Zadaję więc pytanie: jak to mozliwe, że ubuntu 4.10 mające jądro 2.6.8 > wydało już od sierpnia do listopada 5 poprawionych wersji jądra 2.6.8, a > Debian nie wydał ani jednej poprawki. To nie musi być to samo 2.6.8 > To samo pytanie można postawić w przypadku kernela 2.4.27 Można, ale osobiście drażni mnie ton tego wątku. Pozdrawiam PS. Sygnaturka się wylosowała chyba nawet stosowna: -- Jacek Kawa **If you suspect a man, don't employ him, and if ypu employ him, don't suspect him.** -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: FW: Kernel dla sarge
On Wed, 14 Dec 2005, Mikolaj Golub wrote: MO> Zadaję więc pytanie: jak to mozliwe, że ubuntu 4.10 mające jądro 2.6.8 MO> wydało już od sierpnia do listopada 5 poprawionych wersji jądra 2.6.8, MO> a Debian nie wydał ani jednej poprawki. MO> To samo pytanie można postawić w przypadku kernela 2.4.27 Te pytania trzeba zadawać na debian-security lub debian-kernel. Ewentualnie, reportbug. W zasadzie mnie to w jakiś szczególny sposób nie interesuje, gdyż od lat sam kopiluję sobie kernele i tych z pakietów .deb nie używam. Wziąłem tylko udział w dyskusji na temat jakości jąder znajdujących się w stabilnym wydaniu Debiana wyrażając swoją opinię na ten temat. Po wydaniu Sarge zadawałem wiele pytań na debian-security (przez ponad miesiąc zespół ds bezpieczeństwa nie łatał dziur w pakietach). Wtedy dowiedziałem się, że zamrażanie pakietów jest dobre bo jest dobre ;-) Podsumowując cały ten wątek uważam, że: 1. zasada zamrażania pakietów generalnie jest słuszna 2. nie można jej uważać jako panaceum rozwązujące wszystkie problemy związane z bezpieczeństwem 3. w pewnych zastosowaniach (np. serwery) najnowszy kernel jest bezpieczniejszy od zamrożonego, starego kernela - zwłaszcza wtedy, gdy proces łatania starego jądra się opóźnia lub nie ma miejsca. Pozdr. Marek
Re: FW: Kernel dla sarge
On Wed, 14 Dec 2005 00:28:31 +0100 (CET) Marek Olejniczak wrote: MO> Zadaję więc pytanie: jak to mozliwe, że ubuntu 4.10 mające jądro 2.6.8 MO> wydało już od sierpnia do listopada 5 poprawionych wersji jądra 2.6.8, MO> a Debian nie wydał ani jednej poprawki. MO> To samo pytanie można postawić w przypadku kernela 2.4.27 Te pytania trzeba zadawać na debian-security lub debian-kernel. Ewentualnie, reportbug. -- to my, trociny
Re: FW: Kernel dla sarge
On Tue, 13 Dec 2005, Jacek Kawa wrote: 1. http://kernel.debian.net/debian/pool/main/kernel-image-2.6.8-i386/ Zajrzałem: tam są pakiety kernela deb 2.6.8 zbudowane 16 sierpnia 2005, czyli jest to oficjalne jądro 2.6 Debiana. 2. Nie wszystkie dziury dotyczące 2.6.X dotyczą 2.6.X-n Słusznie. Pierwsze z brzegu: http://www.google.pl/search?q=sarge+debian+kernel+vulnerable * [SECURITY] orinoco: Information leakage due to incorrect padding orinoco-info-leak.patch Przeczytałem pierwszy link jaki wyrzuciło Google, a był to link http://lists.debian.org/debian-kernel/2005/10/msg00297.html Zajrzałem też na http://svn.debian.org/wsvn/kernel/people/horms/patch_notes/2.6-stable/2.6.13.4?op=file&rev=0&sc=0 i wciąż nie rozumiem dlaczego uważa się, że debianowe jądro 2.6.8 jest bezpieczne. Z linku http://lists.debian.org/debian-kernel/2005/10/msg00297.html wynika tylko tyle, że niektóre z łat na dziury w kernelu 2.6.13.4 (który okazał się 10. pażdziernika 2005) przeniesiono do debianowego kernela 2.6.8 i te łaty umieszczono w Subversion. W jaki sposób łaty które znalazły się w Subversion w okolicy 10. października znalazły się w pakiecie kernela utworzonego 16. sierpnia? To raczej niemożliwe, chyba że założymy iż developerzy debiana potrafią podróżować w czasie ;-) Od 16.sierpnia (daty utworzenia pakietów deb dla 2.6.8) pojawiło się 6 komunikatów informujących o 11 błędach w kernelach serii 2.6.x, można to zobaczyc np. tu: http://www.frsirt.com/english/vuln.php?search=linux+kernel Nie wiem jakim cudem łaty powstałe po okresie utworzenia pakietów deb dla 2.6.8 miałyby przeniknać do tych pakietów. A jesli tak było, to dlaczego nie ma informacji o poprawkach do tego kernela na listach Security Advisories (http://www.us.debian.org/security/2005/) We wspomnianym czasie Ubuntu (dystrybucja bazująca na debianie) wydała już 5 poprawionych wersji jądra, także jądra 2.6.8 ktore ma ubuntu 4.10. Zadaję więc pytanie: jak to mozliwe, że ubuntu 4.10 mające jądro 2.6.8 wydało już od sierpnia do listopada 5 poprawionych wersji jądra 2.6.8, a Debian nie wydał ani jednej poprawki. To samo pytanie można postawić w przypadku kernela 2.4.27 Pozdr. Marek
Re: FW: Kernel dla sarge
Jak podają anonimowe źródła, przepowiedziano, że Marek Olejniczak napisze: > >Zastanawiam się czy warto tak na prawde intalować kernele w stylu > >"bleeding-edge" :P > >Znam ludzi instalujących każdego nowego kernela który tylko wyjdzie. Mój > >znajomy narzeka że w najnowszym slaku jest kernel 2.6.13 a w sargu > >_tylko_ (?) 2.6.8. Zapytany o to ,co daje mu nowszy kernel , nie potrafi > >na to odpowiedzieć. > > > > No to ja odpowiem ;-) > > http://secunia.com/product/2719/ > > Jądra 2.6.x to dziura na dziurze, a 2.6.8 to tragedia :-( i nie wydaje mi > się, aby to debianowe było łatane. 1. http://kernel.debian.net/debian/pool/main/kernel-image-2.6.8-i386/ 2. Nie wszystkie dziury dotyczące 2.6.X dotyczą 2.6.X-n Pierwsze z brzegu: http://www.google.pl/search?q=sarge+debian+kernel+vulnerable * [SECURITY] orinoco: Information leakage due to incorrect padding orinoco-info-leak.patch ... 2.6.8-sarge: added to svn; backported; orinoco-info-leak.dpatch 2.6.8-sarge-security: added to svn; backported; orinoco-info-leak.dpatch ... * [TCP]: BIC coding bug in Linux 2.6.13 tcp-congestion-control-bug.patch ... 2.6.8-sarge: not vulnerable 2.6.8-sarge-security: not vulnerable; not a security fix ... * [SECURITY] Fix drm 'debug' sysfs permissions drm-module_param-permissions-fix.patch Security: Yes; Should request CVE ... 2.6.8-sarge: not vulnerable 2.6.8-sarge-security: not vulnerable ... * [SECURITY] key: plug request_key_auth memleak See CAN-2005-3119 key-rka-memleak.patch Security: Yes; CAN-2005-3119 2.6.13: applied 2.6.12: not vulnerable 2.6.8-sarge: not vulnerable 2.6.8-sarge-security: not vulnerable 2.4.27-sid/sarge: not vulnerable 2.4.27-sarge-security: not vulnerable itd. itd. itd. Pozdrawiam -- Jacek Kawa **Waiting for the miracle to come [Cohen]** -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: FW: Kernel dla sarge
Był 13 gru 2005 (wtorek), godz 09:41:38 +0100. Wtedy Marek Olejniczak napisał(a): > Co do mojego rozumienia stabilności - dystrybucja musi być stabilna, czyli > pracować niezawodnie. Jednak musi też być bezpieczna. W moim rozumieniu > dystrybucja jest stabilna, jeżeli pracuje niezawodnie i jest bezpieczna. > Zgoda, że niezawodność dystrybucji ujawinai się po czasie, ale przecież > nowe wydania jądra nie pojawiają się od razu lecz po kilku-kilkunastu > miesiącach testowania, więc nie można mówić, że są "niestabilne" lub > nieprzetestowane. Tylko zobacz w jakich warunkach są one testowane. Sam pisałeś, że nie wyobrażasz sobie strategicznie ważnego serwera działającego na nieprzetestowanym jądrze. I mało kto decyduje się w normalnych warunkach na takie posunięcie. To duże ryzyko, więc istnieje jednak szansa na to, że jądro nie przechodzi odpowiednich testów przed wydaniem. > >Przy ukazaniu się dystrybucji stable co trzy lata (w przypadku > >debiana raczej już trudno wyobrazić sobie krótszy czas) > > A ja sobie wyobrażam. Wyobrażają sobie też to niekturzy developerzy > debiana gdyż już teraz rozważają mozliwość częstszego niż co 3 lata > wydawania kolejnych stabilnych dystrybucji. Używałem różnych dystrybucji linuksa oraz OpenBSD i FreeBSD. Może właśnie przez to, iż niektórzy deweloperzy nie chcą szybszych wydań, najmniej problemów miałem podczas pracy na debianie stable (niekoniecznie tylko przez to). Nie był to oczywiście najbezpieczniejszy z tych systemów ale sprawiał najmniej problemów z codzienną pracą. Na swoim komputerze używam texa, vima, gnuplota, programuję w C i C++, jest on używany do grania, jest na nim używany pakiet openoffice. Większość musi być w języku polskim. Drobny przykład: kiedyś w Auroksie (nie mam nic do tej dytrybucji) wywalał mi się xpdf. Takich sytuacji w debianie stable raczej nie ma. > Nie powoduje żadnych problemów, gwarantuję Tobie. Problemem dla > przeciętnego użytkownika może jedynie byc poprawne skompilowanie jądra i > dlatego najnowsze jądra powinny być oficjalnie pakietowane przez > developerów debiana aby początkujący lub niedoświadczony uzytkownik nie > musiał tego robic samodzielnie lub aby nie musiał korzystać z róznych > nieoficjalnych repozytoriów w stylu apt-get.org. Przecież takie > repozytoria powstały jako odpowiedź na ospałą politykę developerów debiana > w kwestii wydawania nowych stabilnych wydań. Ja nie potrzebuję żadnych gwarancji, ale dziękuję Tobie ;-). Jeśli czytasz inne grupy dyskusyjne, to chyba zauważasz ile problemów jest przy przejściu z jednej serii jądra na inną serię (lub nawet w przypadku jąder 2.6 ze starszego na nowsze). I nie dotyczy to tylko bardzo początkujących (początkujący przeważnie dość szybko wypisują się z grup dyskusyjnych, bo większości omawianych tam spraw nie rozumieją). Rzeczywiście najczęsciej nie powoduje to wielkich problemów podczas upgrade zwykłego serwera na którym jest apache, bind i podobne ważne serwery. Przykładowo problemy sprawiają moduły do neostrady, sterowniki do kart graficznych nvidii (do ati też). Poza tym nowsze jądro potrzebuje nowszych pakietów do kompilacji. Moim skromnym zdaniem właśnie po to jest apt-get.org. Myślę, że rozumiemy to identycznie, tylko nikt z nas nie zna faktycznie dobrej recepty na poprawę. Może właśnie tak jak powiedziałeś nowe jądra przynajmniej do zastosowań serwerowych na dzisiaj powinny pojawiać się w volatile. > > W tym miejscu warto jeszcze zauważyć, że właśnie na stacji roboczej bardzo > brakuje najnowszych pakietów programów, przy czym jadro może być starsze. > Na serwerze najczęsciej jest odwrotnie - jadro powinno być najnowsze ze > względu na bezpieczeństwo, a pozostałe pakiety mogą być starsze > (najczęściej to nie przeszkadza). Nie wszyscy muszą mieć najnowszy pakiet biurowy do pisania zwykłych tekstów w biurze (wszystko zależy od konkretnej sytuacji). > > >Podejście deweloperów debiana jest jednak w samym założeniu racjonalne. > >Powinno być tak, iż nowe jądro dodaje pewne nowe funkcjonalności, ale > >też potencjalnie nowe dziury i chyba tak jest. > > Niezupełnie tak jest. Nowe jądro (mówimy tu o numerze na ostatniej > pozycji, czyli 2.4.x) to tylko poprawka błędów z wersji poprzedniej (np. > 2.4.31 poprawia błedy znalezione w 2.4.30). Jako błąd rozumiem tu nie > tylko niebezpieczne, krytyczne dziury, ale także np. błędy w obsłudze > urządzeń. Jeżeli zajrzysz do plików Changelog dla każdego nowego wydania > jadra to zobaczysz takie wpisy: > > fix memory leak in sd_mod.o > Fix MCAST_EXCLUDE line dupes > fix infinite loop in udp_v6_get_port() > > Cóż to jest jak nie poprawki wykrytych błędów? W jądrach 2.6 jest trochę inaczej (patrz niżej). > W moim przekonaniu taką poprawką błędu było np. umożliwienie obsługi > dysków > 120GB w jądrze (jesli się nie mylę) 2.4.19. Stabilne, dziurawe > jadro 2.4.18 z Woodiego obsługiwało dyski tylko do 120GB i trudno było > wytumaczyć np. we firmie, że na stacjach roboczych nie mogą u
Re: FW: Kernel dla sarge
Był 13 gru 2005 (wtorek), godz 10:16:14 +0100. Wtedy Marek Olejniczak napisał(a): > To co z takiego łatania jak nie są likwidowane dziury? Poza tym ja jakoś > nie widzę, aby pojawiło się połatane jakąkolwiek łatą jadro 2.4.27 oraz > 2.6.8. Wszystkie łaty nałożone na jądro 2.6.8 są tutaj: /usr/share/doc/kernel-image-2.6.8-2-k7/Debian.src.changelog.gz Jest tego trochę. Ale rzeczywiście masz rację - to nie załatwia wszystkich spraw. > Chyba żartujesz! Developerzy maja testowac nowe, niebezpieczne jądra na > maszynach produkcyjnych na których odbywa się proces rozwijania debiana??? Próbuję Ci tylko powiedzieć, że nie zawsze Twoje wnioski muszą być słuszne: "Developerzy debiana o tym wiedzą, gdyż sami nie stosują ich na własnych serwerach". Te jądra są niebezpieczne, a jednak Ty też ich używasz. Jeśli coś jest dziurawe to nie wszyscy po wykryciu takiej dziury to zgłaszają i mogą wtedy bawić się do woli na Twoim najnowszym kernelu i potem na jeszcze nowszym też (jeśli nikt nie zgłosi tego błędu). > Tu się z Tobą w pełni zgadzam, tylko bym to wyraził inaczej - nie wiadomo, > czy w najnowszym jadrze są jakieś dziury. Być może że nie ma dziur > krytycznych dla bezpieczeństwa, tylko drobne usterki (np. w obsłudze > urządzeń). Jeśli są jakieś poważne błędy to jeszczxe ich nie wykryto, co > oznacza, że nikt ich nie może wykorzystać. W przypadku starych jąder są > już odkryte poważne dziury, a exploity na icj wykorzystanie można znaleźć > w sieci - takie jadro jest potencjalnie niebezpieczne. Tak jak powyżej: Jeśli są jakieś poważne błędy to oznacza tylko, że nikt tego nie zgłosił. Ktoś może je jednak wykorzystać. ;-( > Jeśli chodzi o developerów debiana to chylę przed nimi głowę gdyż odwalają > kawał dobrej roboty. Jednak moim zdaniem do sprawy zamrażania wszystkiego > co się da podeszli zbyt kultowo. Pewnym wyłomem w tym szkodliwym moim > zdaniem podejściu kultowego traktowania teorii o zamrażaniu jako > złotego środka na stabilność i bezpieczeństwo jest utworzenie repozytorum > volatile, którego za czasów Woody nie było. Myślę, że to może być dobry pomysł. -- Artur Dulęba | gpg:0x5F938547 | rlu:305151 Olbrachcice Wielkie, 57-200, Dolny Śląsk Uniksy od marca 2001, od 2003 bez Windows Używam Debiana, bo jest zwykły (zamiast być extra). signature.asc Description: Digital signature
Re: FW: Kernel dla sarge
On Mon, 12 Dec 2005, Artur Dulęba wrote: 1. Dystrybucyjne jądra debiana są dziurawe i nikt ich nie łata One są łatane, jednak nie są likwidowane wszystkie dziury. To co z takiego łatania jak nie są likwidowane dziury? Poza tym ja jakoś nie widzę, aby pojawiło się połatane jakąkolwiek łatą jadro 2.4.27 oraz 2.6.8. 2. Developerzy debiana o tym wiedzą, gdyż sami nie stosują ich na własnych serwerach tylko podmieniają jądra na najnowsze gdy tylko sie takie pokażą (raz zapomnieli to zrobic co skończyło się włamaniem). To akurat nie musi tego potwierdzać. Obowiązkiem deweloperów debiana jest testowanie nowych pakietów, nowych jąder również. Powinny więc być na maszynach przez nich używanych. Chyba żartujesz! Developerzy maja testowac nowe, niebezpieczne jądra na maszynach produkcyjnych na których odbywa się proces rozwijania debiana??? Prawda jest taka, że oni dobrze wiedzą o dziurach w dystrybucyjnych jądrach, z jakiegos powodu ich nie łatają, z jakiegoś powodu utrzymują kultową teorię o zbawiennym zamrażaniu wszystkiego co się da, ale na własnych serwerach tych zasad nie stosują (w każdym razie w stosunku do jadra). 3. Zamrażanie jądra linuksa w debianie to poważny błąd - tylko najnowsze jądro mozna uznać za bezpieczne. Skoro w każdym jądrze są znajdowane po jakimś czasie dziury, to raczej nie 'bezpieczne' ale z jeszcze nieznanymi dziurami. To jednak bezpośredni problem jądra linuksa (nie zmienia to faktu, że to też problem debiana). Tu się z Tobą w pełni zgadzam, tylko bym to wyraził inaczej - nie wiadomo, czy w najnowszym jadrze są jakieś dziury. Być może że nie ma dziur krytycznych dla bezpieczeństwa, tylko drobne usterki (np. w obsłudze urządzeń). Jeśli są jakieś poważne błędy to jeszczxe ich nie wykryto, co oznacza, że nikt ich nie może wykorzystać. W przypadku starych jąder są już odkryte poważne dziury, a exploity na icj wykorzystanie można znaleźć w sieci - takie jadro jest potencjalnie niebezpieczne. Dużo z tego co piszesz jest prawdą, ale mam proste pytanie: Czy masz złoty środek na zaradzenie temu problemowi w dystrybucji debian (przecież deweloperzy debiana to zapewne mądrzy ludzie i chyba większość pomysłów, które nam przyszły do głowy także rozważali)? Już wcześniej pisałem, że w sprawach bezpieczeństwa nie ma złotego środka :-) W przypadku jądra linuksa widzę jedno proste rozwiązanie: wrzucenie najnowszego jadra do volatile tak jak to jest robione np. z antywirem amavis. Jeśli chodzi o developerów debiana to chylę przed nimi głowę gdyż odwalają kawał dobrej roboty. Jednak moim zdaniem do sprawy zamrażania wszystkiego co się da podeszli zbyt kultowo. Pewnym wyłomem w tym szkodliwym moim zdaniem podejściu kultowego traktowania teorii o zamrażaniu jako złotego środka na stabilność i bezpieczeństwo jest utworzenie repozytorum volatile, którego za czasów Woody nie było. Pozdr. Marek
Re: FW: Kernel dla sarge
On Mon, 12 Dec 2005, Artur Dulęba wrote: Ta dystrybucja ma być właśnie przede wszystkim stabilna. Pomyśl czy dobrze rozumiesz słowo stabilna. Dużo ludzi pracują na debianie również jako stacji roboczej i nie może sobie pozwolić na godziny stracone na próbach dostosowania do często starych pakietów w debianie najnowszego jądra. Nie wiem o jakim dostosowywaniu pakietów do jądra masz na mysli. Wersja jądra nie ma najmniejszego wpływu na to jak pracują inne programy i nie ma potrzeby dostosowywania pakietów do jądra. Ja od dawna podmieniam jadra na najnowsze na dziesiątkach komputerów i nigdy nie musiałem czegokolwiek dostosowywać w pakietach debiana. W tym miejscu muszę jednak wspomnieć, że w przypadku stacji roboczej poza szczególnymi przypadkami nie widzę potrzeby wymiany jądra na najnowsze. Jednak w przypadku serwerów jest inaczej - od jakości jądra zależy bezpieczeństwo serwera i tu nie można sobie pozwolić na utrzymywanie dziurawych kerneli. Co do mojego rozumienia stabilności - dystrybucja musi być stabilna, czyli pracować niezawodnie. Jednak musi też być bezpieczna. W moim rozumieniu dystrybucja jest stabilna, jeżeli pracuje niezawodnie i jest bezpieczna. Zgoda, że niezawodność dystrybucji ujawinai się po czasie, ale przecież nowe wydania jądra nie pojawiają się od razu lecz po kilku-kilkunastu miesiącach testowania, więc nie można mówić, że są "niestabilne" lub nieprzetestowane. Przy ukazaniu się dystrybucji stable co trzy lata (w przypadku debiana raczej już trudno wyobrazić sobie krótszy czas) A ja sobie wyobrażam. Wyobrażają sobie też to niekturzy developerzy debiana gdyż już teraz rozważają mozliwość częstszego niż co 3 lata wydawania kolejnych stabilnych dystrybucji. oraz biorąc poprawkę na to, że niektóre pakiety siłą rzeczy muszą być tutaj jeszcze rok starsze, nie ma szans, żeby jądro o trzy, cztery lata młodsze nie powodowało problemów dla przeciętnego użytkownika. Nie powoduje żadnych problemów, gwarantuję Tobie. Problemem dla przeciętnego użytkownika może jedynie byc poprawne skompilowanie jądra i dlatego najnowsze jądra powinny być oficjalnie pakietowane przez developerów debiana aby początkujący lub niedoświadczony uzytkownik nie musiał tego robic samodzielnie lub aby nie musiał korzystać z róznych nieoficjalnych repozytoriów w stylu apt-get.org. Przecież takie repozytoria powstały jako odpowiedź na ospałą politykę developerów debiana w kwestii wydawania nowych stabilnych wydań. W tym miejscu warto jeszcze zauważyć, że właśnie na stacji roboczej bardzo brakuje najnowszych pakietów programów, przy czym jadro może być starsze. Na serwerze najczęsciej jest odwrotnie - jadro powinno być najnowsze ze względu na bezpieczeństwo, a pozostałe pakiety mogą być starsze (najczęściej to nie przeszkadza). Podejście deweloperów debiana jest jednak w samym założeniu racjonalne. Powinno być tak, iż nowe jądro dodaje pewne nowe funkcjonalności, ale też potencjalnie nowe dziury i chyba tak jest. Niezupełnie tak jest. Nowe jądro (mówimy tu o numerze na ostatniej pozycji, czyli 2.4.x) to tylko poprawka błędów z wersji poprzedniej (np. 2.4.31 poprawia błedy znalezione w 2.4.30). Jako błąd rozumiem tu nie tylko niebezpieczne, krytyczne dziury, ale także np. błędy w obsłudze urządzeń. Jeżeli zajrzysz do plików Changelog dla każdego nowego wydania jadra to zobaczysz takie wpisy: fix memory leak in sd_mod.o Fix MCAST_EXCLUDE line dupes fix infinite loop in udp_v6_get_port() Cóż to jest jak nie poprawki wykrytych błędów? W moim przekonaniu taką poprawką błędu było np. umożliwienie obsługi dysków > 120GB w jądrze (jesli się nie mylę) 2.4.19. Stabilne, dziurawe jadro 2.4.18 z Woodiego obsługiwało dyski tylko do 120GB i trudno było wytumaczyć np. we firmie, że na stacjach roboczych nie mogą używać dysków większych niż 120 GB bo debian ich nie obsługuje podczas gdy inne dystrybucje już dawno to robiły. Nowe jądro nie jest nigdy dobrze przetestowane, bo mało kto używa jąder z gałęzi niestabilnych. Przecież nie mówimy tu o gałęziach niestabilnych, tylko o poprawkach błędów znalezionych w stabilnych wydaniach jądra. Z tego co wiem to właśnie wszystkie jądra serii 2.6 są traktowane przez twórców jako w pewien sposób testowe (nie ma jeszcze chyba gałęzi 2.7). Zgodnie z numeracją jądra 2.6 są jądrami stabilnymi. Problemem jest to, że w praktyce każde jądro linuksa jest bardzo dziurawe i trudno tutaj o lepszy kompromis dla przeciętnego użytkownika systemu, który musi przede wszystkim pracować na komputerze. W praktyce dziurawe są wszystkie jadra poniżej numerów 2.6.14.3 oraz 2.4.31. W jądrach 2.6.14.3 oraz 2.4.31 jeszcze nie odkryto krytycznych usterek ;-) Często jest bezpieczniejsze właśnie przez długie testy, którym jest poddawane. Poza tym jest dobrze zgrane z dystrybucją stabilną sarge. Do tego w razie problemów dotyczących bezpieczeństwa rozwijający debiana dość szybko wydają załataną wersję tego jądra. Tu się
Re: FW: Kernel dla sarge
Był 11 gru 2005 (niedziela), godz 14:45:35 +0100. Wtedy Marek Olejniczak napisał(a): > Ten przypadek dokładnie potwierdza to co wczesniej powiedziałem: > > 1. Dystrybucyjne jądra debiana są dziurawe i nikt ich nie łata One są łatane, jednak nie są likwidowane wszystkie dziury. > 2. Developerzy debiana o tym wiedzą, gdyż sami nie stosują ich na > własnych serwerach tylko podmieniają jądra na najnowsze gdy tylko sie > takie pokażą (raz zapomnieli to zrobic co skończyło się włamaniem). To akurat nie musi tego potwierdzać. Obowiązkiem deweloperów debiana jest testowanie nowych pakietów, nowych jąder również. Powinny więc być na maszynach przez nich używanych. > 3. Zamrażanie jądra linuksa w debianie to poważny błąd - tylko najnowsze > jądro mozna uznać za bezpieczne. Skoro w każdym jądrze są znajdowane po jakimś czasie dziury, to raczej nie 'bezpieczne' ale z jeszcze nieznanymi dziurami. To jednak bezpośredni problem jądra linuksa (nie zmienia to faktu, że to też problem debiana). Sposób testowania jądra sprawia, że nowo wydane jądro nie zawsze jest jednak stabilne. A stabilność działania jest chyba niezaprzeczalnie dosyć ważna dla użytkownika. Dużo z tego co piszesz jest prawdą, ale mam proste pytanie: Czy masz złoty środek na zaradzenie temu problemowi w dystrybucji debian (przecież deweloperzy debiana to zapewne mądrzy ludzie i chyba większość pomysłów, które nam przyszły do głowy także rozważali)? pozdrawiam -- Artur Dulęba | gpg:0x5F938547 | rlu:305151 Olbrachcice Wielkie, 57-200, Dolny Śląsk Uniksy od marca 2001, od 2003 bez Windows Używam Debiana, bo jest zwykły (zamiast być extra). signature.asc Description: Digital signature
Re: FW: Kernel dla sarge
Był 11 gru 2005 (niedziela), godz 15:47:25 +0100. Wtedy Marek Olejniczak napisał(a): > >W debianie proces stabilizacji pakietów (w tym jądra) trwa bardzo długo. > >Jądro 2.6.8 to bardzo młode jądro jak na dzisiaj i stabilne wydanie > >debiana. > > To własnie jest istotną wadą Debiana. W moim przekonaniu zamrażanie jądra > jest poważnym błędem w Debianie, za co Debian zapłacił włamaniem na swoje > serwery w 2003r (a szkoda, bo to taka udana dystrybucja). > W zasadzie mnie to nie przeszkadza, bo sam sobie kompiluje nowe kernele > gdy tylko sie pokażą, jednak bardzo mnie irytuje to irracjonalne podejście > developerów debiana do utrzymywania przez lata dziurawych i starych jąder > w stabilnej dytrybucji. Ta dystrybucja ma być właśnie przede wszystkim stabilna. Pomyśl czy dobrze rozumiesz słowo stabilna. Dużo ludzi pracują na debianie również jako stacji roboczej i nie może sobie pozwolić na godziny stracone na próbach dostosowania do często starych pakietów w debianie najnowszego jądra. Przy ukazaniu się dystrybucji stable co trzy lata (w przypadku debiana raczej już trudno wyobrazić sobie krótszy czas) oraz biorąc poprawkę na to, że niektóre pakiety siłą rzeczy muszą być tutaj jeszcze rok starsze, nie ma szans, żeby jądro o trzy, cztery lata młodsze nie powodowało problemów dla przeciętnego użytkownika. > > > >Ono będzie (mocno prawdopodobne) jeszcze przez 2-3 lata w > >wersji stable. > > To będzie tragedia :-( To co oni zrobili z Woodym to była istna > kompromitacja. Przez 3 lata znajdowało sie tam dziurawe jądro 2.4.18, > które w dodatku nie obsługiwało dysków wiekszych niż 120GB w wyniku czego > nie było możliwości instalowania Debiana Woody na dyskach większych niż > 120M (nie mówię już o tym, że 2.4.18 było dziurawe jak sito w chwili > ukazania się Sarge). Podejście deweloperów debiana jest jednak w samym założeniu racjonalne. Powinno być tak, iż nowe jądro dodaje pewne nowe funkcjonalności, ale też potencjalnie nowe dziury i chyba tak jest. Nowe jądro nie jest nigdy dobrze przetestowane, bo mało kto używa jąder z gałęzi niestabilnych. Z tego co wiem to właśnie wszystkie jądra serii 2.6 są traktowane przez twórców jako w pewien sposób testowe (nie ma jeszcze chyba gałęzi 2.7). Problemem jest to, że w praktyce każde jądro linuksa jest bardzo dziurawe i trudno tutaj o lepszy kompromis dla przeciętnego użytkownika systemu, który musi przede wszystkim pracować na komputerze. > > >Często jest bezpieczniejsze właśnie przez długie testy, > >którym jest poddawane. Poza tym jest dobrze zgrane z dystrybucją > >stabilną sarge. Do tego w razie problemów dotyczących bezpieczeństwa > >rozwijający debiana dość szybko wydają załataną wersję tego jądra. > > Czyżby? To dlaczego 2.6.8 jest wciąż dziurawe i niezałatane? Pierwsza > poważna dziura w 2.6.8 pojawiła się już chyba w dwa tygodnie po wydaniu > Sarge i do dziś nie jest załatana w tym jądrze. Również 2.4.18 było przez > cały czas od wykrycia w nim poważnych błedów niezałatane. Zgadzam się z Tobą, że najnowsze jądra 'często' dają Ci stosunkowo duże bezpieczeństwo jeżeli chodzi o włamania, ale powtarzam jeszcze raz, dają one mniejsze bezpieczeństwo jeżeli chodzi o bezproblemowe użytkowanie komputera. Mówimy więc o dwóch różnych rzeczach. -- Artur Dulęba | gpg:0x5F938547 | rlu:305151 Olbrachcice Wielkie, 57-200, Dolny Śląsk Uniksy od marca 2001, od 2003 bez Windows Używam Debiana, bo jest zwykły (zamiast być extra). signature.asc Description: Digital signature
Re: FW: Kernel dla sarge
On Sun, 11 Dec 2005, Wojciech Ziniewicz wrote: No właśnie nie pamietam za nic w swiecie stronki. Były opisane dwa przypadki. W jednym (jądro 2.4.28 bodajże) jakiś człowiek umieścił trojana (sic!) w jednym z paczów do jądra (nie do modułów :) ) , w drugim chodziło o coś podobnego. Dwa przypadki były wykryte mniej wiecej po kilku dniach od scommitowania kodu. Było to mniej wiecej 2 lata temu. Tak teraz sobie cos przypominam, było coś takiego i znalazłem nawet info o tym (http://news.zdnet.co.uk/software/linuxunix/0,39020390,39117696,00.htm) Było to w listopadzie 2003, czyli tuż przed wydaniem jądra 2.4.23. W tym samym czasie było to niesławne włamanie na serwery Debiana. Może to była robota tej samej grupy ludzi? O tym drugim przypadku nic nie mogę znaleźć. Pozdr. Marek
Re: FW: Kernel dla sarge
Marek Olejniczak napisał(a): > Trzeba też pamiętać, że zrobienie takiej łatki na stosunkowo stare > zamrożone jądro nie musi być wcale takie proste i oczywiste. Nie dziwię > się, że developerzy wcale się do tego nie spieszą. Jednak nie można > wprowadzać w błąd całej społeczności twierdząc, że zamrożone jadro jest > bezpieczniejsze od najnowszego tylko dlatego że jest stare. > > > > > O tym nie słyszałem. O jaki przypadek chodzi, możesz podać jakiś link? No właśnie nie pamietam za nic w swiecie stronki. Były opisane dwa przypadki. W jednym (jądro 2.4.28 bodajże) jakiś człowiek umieścił trojana (sic!) w jednym z paczów do jądra (nie do modułów :) ) , w drugim chodziło o coś podobnego. Dwa przypadki były wykryte mniej wiecej po kilku dniach od scommitowania kodu. Było to mniej wiecej 2 lata temu. -- Pozdrawiam, |Wojciech Ziniewicz [EMAIL PROTECTED] |Wanna gmail? http://silenceproject.org |:E PGP fingerprint : E8AF DDCB 0E67 704A 4592 E94C A463 1663 7929 EF02 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: FW: Kernel dla sarge
On Sun, 11 Dec 2005, Wojciech Ziniewicz wrote: Mysle ze developerzy debiania stoją przed ciężkim wyborem : albo używać starych jąder i w miare możliwości je łatać, albo używać nowych jąder które tak na prawde mogą być niepewne z różnych innych powodów (wadliwe nieprzetestowane sterowniki, Z pewnością nowe jądro może zawierać usterki, ale trzeba pamiętac, że przed wydaniem nowej wersji jest ona intensywanie testowana. Myślę, że w sytuacji gdy pojawia sie nowe jądro które likiwduje jakiś poważny błąd w jądrach wcześniejszych to bezpieczniej (i rozsądzniej) jest zainstalować takie nowe jądro niż czekać aż developerzy debiana wyłuskają z nowego jadra łatkę którą przyłożą do zamrożonego jądra debiana. Trzeba też pamiętać, że zrobienie takiej łatki na stosunkowo stare zamrożone jądro nie musi być wcale takie proste i oczywiste. Nie dziwię się, że developerzy wcale się do tego nie spieszą. Jednak nie można wprowadzać w błąd całej społeczności twierdząc, że zamrożone jadro jest bezpieczniejsze od najnowszego tylko dlatego że jest stare. lub nawet dziury specjalnie zostawiane na exploity [były już takie przypadki] ). O tym nie słyszałem. O jaki przypadek chodzi, możesz podać jakiś link? Szczerze mówiąc najlepszym rozwiązaniem dla bezpiecznego serwera byłoby chyba instalowanie w miarę najnowszych jąder ale nie wprost z kernel.org w stylu 2.6.15-rc5-mm2 itd itd. W zasadzie jesli chodzi o serwery to jądra 2.6 w ogóle niewiele "dają" i zostalbym przy najnowszym stable branchu 2.4. Tu się w pełni z Tobą zgadzam. W jądrach serii 2.6 wykryto niesamowitą liczbę różnych dziur, jądra serii 2.4 pod tym względem są bezpieczniejsze. Jednak trzeba pamiętać, że wszystkie jądra poniżej 2.4.31 zawierają niebezpieczne dziury, tak więc pozostawianie przy instalacyjnym jądrze 2.4.27 ze Sarge też może być potencjalnie niebezpieczne (jak widać nikt go nie łata). Pozdr. Marek
Re: FW: Kernel dla sarge
Marek Olejniczak napisał(a): > Czyżby? To dlaczego 2.6.8 jest wciąż dziurawe i niezałatane? Pierwsza > poważna dziura w 2.6.8 pojawiła się już chyba w dwa tygodnie po wydaniu > Sarge i do dziś nie jest załatana w tym jądrze. Również 2.4.18 było > przez cały czas od wykrycia w nim poważnych błedów niezałatane. > > Pozdr. > > Marek Mysle ze developerzy debiania stoją przed ciężkim wyborem : albo używać starych jąder i w miare możliwości je łatać, albo używać nowych jąder które tak na prawde mogą być niepewne z różnych innych powodów (wadliwe nieprzetestowane sterowniki, lub nawet dziury specjalnie zostawiane na exploity [były już takie przypadki] ). Szczerze mówiąc najlepszym rozwiązaniem dla bezpiecznego serwera byłoby chyba instalowanie w miarę najnowszych jąder ale nie wprost z kernel.org w stylu 2.6.15-rc5-mm2 itd itd. W zasadzie jesli chodzi o serwery to jądra 2.6 w ogóle niewiele "dają" i zostalbym przy najnowszym stable branchu 2.4. -- Pozdrawiam, |Wojciech Ziniewicz [EMAIL PROTECTED] |Wanna gmail? http://silenceproject.org |:E PGP fingerprint : E8AF DDCB 0E67 704A 4592 E94C A463 1663 7929 EF02 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: FW: Kernel dla sarge
W debianie proces stabilizacji pakietów (w tym jądra) trwa bardzo długo. Jądro 2.6.8 to bardzo młode jądro jak na dzisiaj i stabilne wydanie debiana. To własnie jest istotną wadą Debiana. W moim przekonaniu zamrażanie jądra jest poważnym błędem w Debianie, za co Debian zapłacił włamaniem na swoje serwery w 2003r (a szkoda, bo to taka udana dystrybucja). W zasadzie mnie to nie przeszkadza, bo sam sobie kompiluje nowe kernele gdy tylko sie pokażą, jednak bardzo mnie irytuje to irracjonalne podejście developerów debiana do utrzymywania przez lata dziurawych i starych jąder w stabilnej dytrybucji. Ono będzie (mocno prawdopodobne) jeszcze przez 2-3 lata w wersji stable. To będzie tragedia :-( To co oni zrobili z Woodym to była istna kompromitacja. Przez 3 lata znajdowało sie tam dziurawe jądro 2.4.18, które w dodatku nie obsługiwało dysków wiekszych niż 120GB w wyniku czego nie było możliwości instalowania Debiana Woody na dyskach większych niż 120M (nie mówię już o tym, że 2.4.18 było dziurawe jak sito w chwili ukazania się Sarge). Często jest bezpieczniejsze właśnie przez długie testy, którym jest poddawane. Poza tym jest dobrze zgrane z dystrybucją stabilną sarge. Do tego w razie problemów dotyczących bezpieczeństwa rozwijający debiana dość szybko wydają załataną wersję tego jądra. Czyżby? To dlaczego 2.6.8 jest wciąż dziurawe i niezałatane? Pierwsza poważna dziura w 2.6.8 pojawiła się już chyba w dwa tygodnie po wydaniu Sarge i do dziś nie jest załatana w tym jądrze. Również 2.4.18 było przez cały czas od wykrycia w nim poważnych błedów niezałatane. Pozdr. Marek
Re: FW: Kernel dla sarge
On Fri, 9 Dec 2005, Marek Zakowicz wrote: Masz na myśli poniższe? http://www.it-faq.pl/EditModule.aspx?tabid=47&mid=412&def=News%20Article%20View&ItemId=1213 Ten link mi cos nie działa. Mam na mysli to: http://www.debian.org/News/2003/20031121 http://lists.debian.org/debian-devel-announce/2003/11/msg00012.html Odnoszę wrażenie, że jądara *-pre i *-test, które były na skompromitowanych serwerach nie należą (zgodnie z nazwą) do tych, które zostały przetestowane. Innymi słowy, jeśli masz na myśli ten akurat przypadek, to można powiedzieć, że potwierdza on przydatność długotrwałego testowania i zamrażania pakietów (czyli jest kontrprzykładem dla Twojej tezy)... No właśnie, że ten przypadek dokładnie potwierdza moją tezę. 1. W tym czasie zamrozone jądro w Woodym to było 2.4.18, które było dziurawe i nikt się nie zajmował łataniem tego jądra, podobnie jak to ma miejsce teraz z kernelami 2.4.27 oraz 2.6.8. 2. Serwery Debiana uzywały nowszych jąder, gdyż chłopaki od debiana dobrze wiedzieli, że 2.4.18 jest dziurawe. Na jednej maszynie było jądro 2.4.22 (które było bezpieczne), a na dwóch pozostałych - 2.4.21-rc2 i 2.4.22rc2 które były dziurawe (jakos zapomnieli o upgrade kernela). To było właśnie przyczną włamania. Oczywiście ja też nie jestem zadowolony z długiego czasu aktualizacji dystrybucji i mam świadomość, że nie ma oprogramowania bez błędów, są tylko programy z nieznanymi błędami ;) Innymi słowy, jeśli poprawki dla starych wersji przestają powstawać to prędzej czy później ktoś prawdopodobnie znajdzie w nich dziurę. Tylko, że wydaje mi się, iż opiekunowie pakietów Debiana, są często tymi, którzy tworzą "wsteczne wersje" łat (jeśli takowe są potrzebne)... Ten przypadek dokładnie potwierdza to co wczesniej powiedziałem: 1. Dystrybucyjne jądra debiana są dziurawe i nikt ich nie łata 2. Developerzy debiana o tym wiedzą, gdyż sami nie stosują ich na własnych serwerach tylko podmieniają jądra na najnowsze gdy tylko sie takie pokażą (raz zapomnieli to zrobic co skończyło się włamaniem). 3. Zamrażanie jądra linuksa w debianie to poważny błąd - tylko najnowsze jądro mozna uznać za bezpieczne. Pozdr. Marek
Re: FW: Kernel dla sarge
Hubert Lautenszleger napisał(a): > Wojciech Ziniewicz napisał(a): > Chyba niebezpieczne stwierdzenie, że wersje => 2.6.9 wieszają system. nie napisałem ze 2.6.9 wieszają system, napisalem tak: > W momencie kiedy doszedłem > do 2.6.9 system sie "wieszał" i nie widziałem przyczyn co opisuje mój szczególny przypadek ;] Pozdro :) -- Pozdrawiam, |Wojciech Ziniewicz [EMAIL PROTECTED] |Wanna gmail? http://silenceproject.org |:E PGP fingerprint : E8AF DDCB 0E67 704A 4592 E94C A463 1663 7929 EF02 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: FW: Kernel dla sarge
Wojciech Ziniewicz napisał(a): > chodzi o kernele. W moim przypadku kompilowalem wszystkie 2.6 od samego > początku . to było 2.6.1, 2.6.2 ,2.6.3 itd. W momencie kiedy doszedłem > do 2.6.9 system sie "wieszał" i nie widziałem przyczyn (zero logów). > Następnie dałem szanse 2.6.10 i 2.6.11 - to samo. Skoro nie wiem i nie > potrafie dociec co się stało to nie ufam nowosciom - podejście może > konserwatywne ale logicznie uzasadnione i moje ;]. Chyba niebezpieczne stwierdzenie, że wersje => 2.6.9 wieszają system. Ja tam siedzę wciąż na 2.4.27 ale tylko i wyłącznie ze względu na słabość sprzetu. Jeszcze niedawno używane 2.6.13 (waniliowe) miało cudną kulturę pracy. Mogłem jednocześnie kompilować, słuchać muzy, grać w lbreackout2 (Celeron 700MHz)... i nic się nigdy, nigdy, nigdy nie powiesiło (u mnie komp to tylko stacja robocza) a i wskaźnik myszy nawet na moment nie zaciął. Jeden minus - ALSA coś strasznie mieliła czego rezultatem był np. brak synchronizacji dźwięku z obrazem w filmach. OSS lepiej służy. Ale jak to się mówi - każdy najlepiej zna własny ogródek. Podejście faktycznie logiczne uzasadnione i Twoje. Pozdrawiam! Hubert signature.asc Description: OpenPGP digital signature
Re: FW: Kernel dla sarge
Marek Zakowicz napisał(a): > Oczywiście ja też nie jestem zadowolony z długiego czasu aktualizacji > dystrybucji i mam świadomość, że nie ma oprogramowania bez błędów, są > tylko programy z nieznanymi błędami ;) Innymi słowy, jeśli poprawki dla > starych wersji przestają powstawać to prędzej czy później ktoś > prawdopodobnie znajdzie w nich dziurę. Tylko, że wydaje mi się, iż > opiekunowie pakietów Debiana, są często tymi, którzy tworzą "wsteczne > wersje" łat (jeśli takowe są potrzebne)... Ja moge tylko od strony czysto praktycznej powiedzieć tak: Mam dwa sewery produkcyjne ,obydwa w internecie. Obydwa stoją na 2.6.8-2. Powodem tego były moje osobiste doświadczenia w kompiliacji na komputerze domowym. 2.6.8-2 zdecydowanie chodził "najlepiej" obciążony kompilacją i różnymi usługami podczas gdy inne miały problemy. Dlatego niestety bycie zanadto "up-to-date" jest rzeczą bardzo niepewną jeśli chodzi o kernele. W moim przypadku kompilowalem wszystkie 2.6 od samego początku . to było 2.6.1, 2.6.2 ,2.6.3 itd. W momencie kiedy doszedłem do 2.6.9 system sie "wieszał" i nie widziałem przyczyn (zero logów). Następnie dałem szanse 2.6.10 i 2.6.11 - to samo. Skoro nie wiem i nie potrafie dociec co się stało to nie ufam nowosciom - podejście może konserwatywne ale logicznie uzasadnione i moje ;]. Pozdr. -- Pozdrawiam, |Wojciech Ziniewicz [EMAIL PROTECTED] |Wanna gmail? http://silenceproject.org |:E PGP fingerprint : E8AF DDCB 0E67 704A 4592 E94C A463 1663 7929 EF02 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: FW: Kernel dla sarge
On Fri, 9 Dec 2005, Marek Olejniczak wrote: [...] Zauważ, że to właśnie Debian jest jedyną znaną mi dystrybucją której serwery zostały zhakowane przed dwoma laty. Być może przyczyną było właśnie zbytnie zaufanie do zasady zamrażania pakietów i utrzymywania na serwerach debiana staroci tylko dlatego, że tego wymaga "polityka bezpieczeństwa". Masz na myśli poniższe? http://www.it-faq.pl/EditModule.aspx?tabid=47&mid=412&def=News%20Article%20View&ItemId=1213 Odnoszę wrażenie, że jądara *-pre i *-test, które były na skompromitowanych serwerach nie należą (zgodnie z nazwą) do tych, które zostały przetestowane. Innymi słowy, jeśli masz na myśli ten akurat przypadek, to można powiedzieć, że potwierdza on przydatność długotrwałego testowania i zamrażania pakietów (czyli jest kontrprzykładem dla Twojej tezy)... Jeśli masz na myśli inny przypadek, to podaj proszę odsyłacz... Oczywiście ja też nie jestem zadowolony z długiego czasu aktualizacji dystrybucji i mam świadomość, że nie ma oprogramowania bez błędów, są tylko programy z nieznanymi błędami ;) Innymi słowy, jeśli poprawki dla starych wersji przestają powstawać to prędzej czy później ktoś prawdopodobnie znajdzie w nich dziurę. Tylko, że wydaje mi się, iż opiekunowie pakietów Debiana, są często tymi, którzy tworzą "wsteczne wersje" łat (jeśli takowe są potrzebne)... Pozdrawiam, Marek -- "Niewiara jest jak wiara na miarę" Raz, Dwa, Trzy
Re: FW: Kernel dla sarge
spierałbym się czy dla przeciętnego użytkownika, a nawet małego produkcyjnego serwera ma to jakikolwiek znaczenie. niemniej dobrym "nawykiem" byloby przesiadać sie na nowego kernela około wersji 15-20 :) Zgadzam się. W wielu przypadkach błędy w kernelu nie mają znaczenia, np. gdy serwer nie udostępnia zasobów na zewnątrz lub pracuje w sieci wewnętrznej firmy. Chodzi jedynie o ogólną zasadę - kernel w Debianie jest (niestety) dziurawy i nikt tych dziur nie łata. Tak jest niestety od dawna, co w mojej opinii wynika ze zbyt kultowego, wręcz "religijnego" trzymania się zasady zamrażania pakietów. W większości przypadków jest to słuszna zasada, ale nie dotyczy ona np. jądra. Developerzy debiana zauważyli ten problem wprowadzając repozytorium volatile w którym znajdują się m.in. programy antywirusowe. Niestety nie ma tam najnowyszch kerneli. Ja już od dawna stosuję taką zasadę, że po instalacji Debiana wyrzucam instalacyjne jądro i wkładam najnowsze, które samodzielnie przygotowuję. W sumie nie jest to nic trudnego, jedynie co mnie niepokoi to własnie to nabożne podejście do zamrażania wszystkiego jako panaceum na bezpieczeństwo dystrybucji. W przypadku zamrażania jądra skutek jest odwrotny - dystrybucja staje się potencjalnie niebezpieczna. na secunia opisywane są z resztą dziury w jądrze które często mają opis taki : "jesli masz raida 0 postawionego na dell proliant xxx wyprodukowany w 2002 roku i używasz squida w wersji xx.x.x-x-rc2-sarge to istnieje możliwość zdalnego wykonania kodu ... " nie dajmy sie opanować windowsowej panice. Masz rację - wiele usterek tam opisanych ma niewielkie znaczenie lub dotyczy specyficznych sytuacji. Jednak takie właśnie jest zadanie tego serwisu - ma informować o wszelkich błędach w oprogramowaniu, a od decyzji użytkownika konkretnej instalacji należy decyzja, czy ten błąd mu zagraża, czy też jest obojętny. Nie zmienia to faktu, że opisano tam też bardzo poważne błędy jądra 2.6.8 i wyższych, które mogą byc potencjalnie bardzo niebezpieczne dla każdej architektury i z tego trzeba zdawać sobie sprawę. W sprawach bezpieczeństwa nie ma guru i złotych środków. Potrzeba wiedzy i osobistego osądu sytuacji wynikającego ze znajomości własnych instalacji oraz odrobiny zdrowego rozsądku. Moim zdaniem niebezpieczne jest zbytnie zaufanie np. do instytucji "zamrażania" pakietów jako lekarstwa na wszystkie problemy związane z bezpieczeństwem. Zauważ, że to właśnie Debian jest jedyną znaną mi dystrybucją której serwery zostały zhakowane przed dwoma laty. Być może przyczyną było właśnie zbytnie zaufanie do zasady zamrażania pakietów i utrzymywania na serwerach debiana staroci tylko dlatego, że tego wymaga "polityka bezpieczeństwa". Pozdr. Marek
Re: FW: Kernel dla sarge
Marek Olejniczak napisał(a): > > No to ja odpowiem ;-) > > http://secunia.com/product/2719/ > > Jądra 2.6.x to dziura na dziurze, a 2.6.8 to tragedia :-( i nie wydaje > mi się, aby to debianowe było łatane. > spierałbym się czy dla przeciętnego użytkownika, a nawet małego produkcyjnego serwera ma to jakikolwiek znaczenie. niemniej dobrym "nawykiem" byloby przesiadać sie na nowego kernela około wersji 15-20 :) na secunia opisywane są z resztą dziury w jądrze które często mają opis taki : "jesli masz raida 0 postawionego na dell proliant xxx wyprodukowany w 2002 roku i używasz squida w wersji xx.x.x-x-rc2-sarge to istnieje możliwość zdalnego wykonania kodu ... " nie dajmy sie opanować windowsowej panice. -- Pozdrawiam, |Wojciech Ziniewicz [EMAIL PROTECTED] |Wanna gmail? http://silenceproject.org |:E PGP fingerprint : E8AF DDCB 0E67 704A 4592 E94C A463 1663 7929 EF02 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: FW: Kernel dla sarge
Zastanawiam się czy warto tak na prawde intalować kernele w stylu "bleeding-edge" :P Znam ludzi instalujących każdego nowego kernela który tylko wyjdzie. Mój znajomy narzeka że w najnowszym slaku jest kernel 2.6.13 a w sargu _tylko_ (?) 2.6.8. Zapytany o to ,co daje mu nowszy kernel , nie potrafi na to odpowiedzieć. No to ja odpowiem ;-) http://secunia.com/product/2719/ Jądra 2.6.x to dziura na dziurze, a 2.6.8 to tragedia :-( i nie wydaje mi się, aby to debianowe było łatane. Pozdr. Marek
Re: FW: Kernel dla sarge
Miroslaw Kwasniak napisał(a): > On Thu, Dec 08, 2005 at 09:56:47AM +0100, Rafał Dąbrowa wrote: > > > > Sargu raczej nigdy nie będzie jądra nowszego niż 2.6.8 > > > > > To, że jest połatany (i łatany na bierząco) - ale nowych funkcjonalności od > niego nie oczekuj. Zastanawiam się czy warto tak na prawde intalować kernele w stylu "bleeding-edge" :P Znam ludzi instalujących każdego nowego kernela który tylko wyjdzie. Mój znajomy narzeka że w najnowszym slaku jest kernel 2.6.13 a w sargu _tylko_ (?) 2.6.8. Zapytany o to ,co daje mu nowszy kernel , nie potrafi na to odpowiedzieć. p.s. to tylko taka refleksja (ja siedzie na 2.6.8 bo _wydaje_ mi się najstabilniejszy) -- Pozdrawiam, |Wojciech Ziniewicz [EMAIL PROTECTED] |Wanna gmail? http://silenceproject.org |:E PGP fingerprint : E8AF DDCB 0E67 704A 4592 E94C A463 1663 7929 EF02 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: FW: Kernel dla sarge
On Thu, Dec 08, 2005 at 09:56:47AM +0100, Rafał Dąbrowa wrote: > Dalej, na apt jest jądro serii 2.6.8-2-686, a na www.kernel.org mamy już > 2.6.14.3, czyli sporo nowsze. Sargu raczej nigdy nie będzie jądra nowszego niż 2.6.8 > I ostatnie pytanie, co jest "bezpieczniejsze" w uzywaniu kernela > debianowego To, że jest połatany (i łatany na bierząco) - ale nowych funkcjonalności od niego nie oczekuj. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: FW: Kernel dla sarge
Był 8 gru 2005 (czwartek), godz 09:56:47 +0100. Wtedy Rafał Dąbrowa napisał(a): > Do tej pory zawsze instalowałem kernel ze zrodeł (www.kernel.org), dzieki > czemu miałem rozeznanie jakie moduły mam w systemie + oczywiście nakładanie > patch'y dla grsecurity, patch-o-matic'a, itp. Jak wygląda sprawa z > zastowowaniem gr-security lub patchomatic'a przy użyciu debianowego jądra ? Tutaj też masz takie rozeznanie: # apt-cache search kernel patch kernel-patch-debian-2.6.8 - Debian patches to Linux 2.6.8 # apt-cache show kernel-patch-debian-2.6.8 Description: Debian patches to Linux 2.6.8 This package includes the patches used to produce the prepackaged kernel-source-2.6.8 package. Note that these patches do NOT apply against a pristine Linux 2.6.8 kernel but only against kernel-source-2.6.8_2.6.8.orig.tar.gz from the Debian archive. Natomiast następujące polecenie pokaże ci co jest w środku paczki: # dpkg -L kernel-patch-debian-2.6.8 Zdarzają się problemy podczas łatania jądra debianowego łatami dla jądra czystego. Bywa, że trzeba się wtedy trochę pomęczyć. > Przed chwilą zainstalowałem kernel przez apt 2.6.8-2-686, system wstał bez > problemu, cała operacja zajęła mniej niż minutę:). Przez modconf'a można > załadować dowolny moduł, oki. Natomiast miałem kiedyś problem ze > sterownikiem, który nie chciał działać prawidłowo jeśli był załadowany jako > moduł (chyba któryś SCSI), pomogło na stałe wkompilowanie w jądro. Ale > domyślam się, że przez apt ściągam skompilowany kernel, który pozwala mi > jedynie na załadowanie wybranego modułu, a nie włączenie go na stałe. Od tego jest: # apt-cache search kernel source 2.6.8 kernel-source-2.6.8 - Linux kernel source for version 2.6.8 with Debian patches > Dalej, na apt jest jądro serii 2.6.8-2-686, a na www.kernel.org mamy już > 2.6.14.3, czyli sporo nowsze. > I ostatnie pytanie, co jest "bezpieczniejsze" w uzywaniu kernela debianowego > ? W debianie proces stabilizacji pakietów (w tym jądra) trwa bardzo długo. Jądro 2.6.8 to bardzo młode jądro jak na dzisiaj i stabilne wydanie debiana. Ono będzie (mocno prawdopodobne) jeszcze przez 2-3 lata w wersji stable. Często jest bezpieczniejsze właśnie przez długie testy, którym jest poddawane. Poza tym jest dobrze zgrane z dystrybucją stabilną sarge. Do tego w razie problemów dotyczących bezpieczeństwa rozwijający debiana dość szybko wydają załataną wersję tego jądra. pozdrawiam -- Artur Dulęba | gpg:0x5F938547 | rlu:305151 Olbrachcice Wielkie, 57-200, Dolny Śląsk Uniksy od marca 2001, od 2003 bez Windows Używam Debiana, bo jest zwykły (zamiast być extra). signature.asc Description: Digital signature
FW: Kernel dla sarge
-Original Message- From: Rafał Dąbrowa [mailto:[EMAIL PROTECTED] Sent: Thursday, December 08, 2005 9:56 AM To: 'Wojciech Ziniewicz' Subject: RE: Kernel dla sarge Importance: High Witam ! Do tej pory zawsze instalowałem kernel ze zrodeł (www.kernel.org), dzieki czemu miałem rozeznanie jakie moduły mam w systemie + oczywiście nakładanie patch'y dla grsecurity, patch-o-matic'a, itp. Jak wygląda sprawa z zastowowaniem gr-security lub patchomatic'a przy użyciu debianowego jądra ? Przed chwilą zainstalowałem kernel przez apt 2.6.8-2-686, system wstał bez problemu, cała operacja zajęła mniej niż minutę:). Przez modconf'a można załadować dowolny moduł, oki. Natomiast miałem kiedyś problem ze sterownikiem, który nie chciał działać prawidłowo jeśli był załadowany jako moduł (chyba któryś SCSI), pomogło na stałe wkompilowanie w jądro. Ale domyślam się, że przez apt ściągam skompilowany kernel, który pozwala mi jedynie na załadowanie wybranego modułu, a nie włączenie go na stałe. Dalej, na apt jest jądro serii 2.6.8-2-686, a na www.kernel.org mamy już 2.6.14.3, czyli sporo nowsze. I ostatnie pytanie, co jest "bezpieczniejsze" w uzywaniu kernela debianowego ? Pozdrawiam Rafał -Original Message- From: Wojciech Ziniewicz [mailto:[EMAIL PROTECTED] Sent: Tuesday, December 06, 2005 10:34 PM To: debian-user-polish@lists.debian.org Subject: Re: Kernel dla sarge -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 eryk napisał(a): > Dnia wtorek, 6 grudnia 2005 20:23, TK napisał: > > > > http:// kernel.org > > osoboście wole być "bezpieczniejszy" i nie instalować kernela waniliowego i polecałbym jednak kernela z apt-geta z tym ze musisz na chwilę przejść do unstable (w /etc/apt/sources.list) - -- Pozdrawiam, |Wojciech Ziniewicz [EMAIL PROTECTED] |Wanna gmail? http://silenceproject.org |:E -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFDlgPCpGMWY3kp7wIRAn7GAJ9BzsERvqheFK9Ag2AecQttMutLIQCfb6Sh 0EySYZJ1fQYuxJ95aM/jE3A= =7qCF -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]