subject:"\[room\] безопасности"

On Tue, Sep 12, 2006 at 01:56:41PM +0800, Evgenii Terechkov wrote:
  RedHat классная контора, которая финансирует множество
  гармотных разработчиков, и активно помогает дижвению
  OpenSource развиваться. Но дистрибутивы они делать не умеют,
  увы.
 Денис, а можно эту информация как-то дополнить? Что именно так
 уж не понравилось? Нужный тут разумные доводы для (и про Федору
 тоже подыскиваю).

$ ls -hogl mail/flame/fedora
-rw---  1 90K Jun 17 16:58 mail/flame/fedora

Прислать? :)

-- 
  WBR, Michael Shigorin [EMAIL PROTECTED]
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Tue, Sep 12, 2006 at 04:16:04PM +0800, Evgenii Terechkov wrote:
  ET Кстати надо действительно на chrooted глянуть, а то тут возникла мысль 
  один
  ET из своих пакетов сделать чрутным (а сама программа совсем не умеет). 
  Хотя
  ET он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
  ET программе) средство чрутизаций?
  vim :)
 Блин, программер на C из меня как балерина. А может кто какое
 толковое руководство по добавлению поддержки chroot()
 подскажет?

Иногда достаточно chroot(1)/chrootuid(1).
Впрочем, с этим лучше перебираться в [EMAIL PROTECTED]

-- 
  WBR, Michael Shigorin [EMAIL PROTECTED]
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-16 Пенетрантность Денис Смирнов

On Tue, Sep 12, 2006 at 04:31:19PM +0800, Evgenii Terechkov wrote:
руководство по добавлению поддержки chroot() подскажет?
Это смотря какой chroot.
early chroot делается без патченья программы.
late chroot уже должна уметь делать сама софтина
А поподробнее где об этом читать? Определения, как делается,
различия, методика и т.п. Я скорее первое имел ввиду сначала, а
патченье кода видимо уже второе.

Рассмотрим апач. Можно его при помощи chroot(1) засунуть весь,
но это обычно практически бессмысленно (если уж, то разумней
в jail или контейнер), поскольку чрут не будет бедным в силу
обычной специфики работы веб-сервера и приложений на нём.

Но это шелл.

Можно при помощи e.g. mod_chroot засунуть тогда, когда сам apache
по крайней мере уже взлетел и слинковался со всем, что нужно
(включая то, что нужно модулям).

А это си. Правда, уже пару-тройку раз сделано.

--
WBR, Michael Shigorin [EMAIL PROTECTED]
-- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Sat, Sep 16, 2006 at 12:22:54PM +0300, Michael Shigorin wrote:

MS Можно при помощи e.g. mod_chroot засунуть тогда, когда сам apache
MS по крайней мере уже взлетел и слинковался со всем, что нужно
MS (включая то, что нужно модулям).
MS А это си.  Правда, уже пару-тройку раз сделано.

Я вот думаю, а не сделать ли мне вид что параноик уже клинический?

1. прикрутить возможность к nginx запускать две копии -- одна в чруте
(фронтенд), другая нет (чтобы иметь доступ к static www).
2. вторую копию таки тоже чрутить, но уже в корень static www.
3. apache стартовать сразу же не от рута, пущай висит себе на
127.0.0.1:8080 каком.

Сейчас критическая точка сам nginx -- ошибка в нем означает компрометацию
всей системы. Нехорошо, однако.

-- 
С уважением, Денис

http://freesource.info

inger, zerg: как вы такое отлаживаете-то?  поделитесь секретами :)
-- mike in #6964
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-16 Пенетрантность Evgenii Terechkov

Денис Смирнов пишет:

 MS $ ls -hogl mail/flame/fedora
 MS -rw---  1 90K Jun 17 16:58 mail/flame/fedora
 MS Прислать? :)
 Да!

+1.В смысле мне тоже Да!.

-- 
С уважением,
системный администратор
ООО Крастел
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-12 Пенетрантность Денис Смирнов

On Sat, Sep 16, 2006 at 01:50:31PM +0400, Денис Смирнов wrote:
 Я вот думаю, а не сделать ли мне вид что параноик уже клинический?
 1. прикрутить возможность к nginx запускать две копии -- одна в чруте
 (фронтенд), другая нет (чтобы иметь доступ к static www).
 2. вторую копию таки тоже чрутить, но уже в корень static www.
 3. apache стартовать сразу же не от рута, пущай висит себе на
 127.0.0.1:8080 каком.

Вот о (3) я тоже подумывал.  control(8)able, типа.

 Сейчас критическая точка сам nginx -- ошибка в нем означает
 компрометацию всей системы. Нехорошо, однако.

Гм, а у меня для того есть iptables/DNAT.

-- 
  WBR, Michael Shigorin [EMAIL PROTECTED]
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-13 Пенетрантность evg

Денис Смирнов пишет:

Ой не знаю. Обычно тут, увы, придется сначала программировать на C. Хотя
если программа простая, то достаточно просто сразу после старта сделать
chdir(chroot path);
chrot(chroot path);

Угу. Ещё с правами надо разобраться. Как-то нужно правильно от пользователя
запускать (оно может, просто мне не приходилось ещё).

ET На предмет этого у хочу глянуть chrooted. У меня есть пакет с чрученым
ET серсисом, но там ничего то копировать и не нужно, это ведь скорее
ET исключение.
В общем да. Хотя сильно зависит от того, в какой момент что приложение
делает после запуска. И в какой момент чрутится.

Нужко копать(с).

Собственно отсутствие целого пласта средств увеличения надежности, которые
мы используем это отсутствие фичи, или просто хреновая работа их QA?
ET Скорее уж второе, причём лучше приянятую как официальная позиция, длящяеся
ET уже какое-то время.
Вот и я о том же.

И я :-). На конкретные гвозди (по сравнению с нашей соломкой) пока не
натыкался.

--
Терешков Евгений, ALT Linux team.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Tue, Sep 12, 2006 at 01:56:41PM +0800, Evgenii Terechkov wrote:

ET Денис, а можно эту информация как-то дополнить? Что именно так уж не
ET понравилось? Нужный тут разумные доводы для (и про Федору тоже подыскиваю).
ET У меня есть одна машинка на полу-поддержке, но я там не настолько много
ET делая(ал), чтоб что-то сильно негативное заметить.

Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш
пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть
глазками на патчи к glibc и openssh (я смотрел, волосы на голове
шевелиться начали).

Кстати, в редхат сделали хотя бы чтобы su/sudo были по-умолчанию доступны
только члены группы wheel?

Ну или последний обсуждавшийся пример -- pam'изация многих сервисов, того
же cron. Которая дает возможность ограничивать ресурсы для запускаемого из
cron добра.

Тут долго говорить можно. Главное -- мантейнеры пакетов это те, кто ими
пользуются, а не те кто их собирает по своим должностным обязанностям. Со
всеми вытекающими отсюда последствиями в виде часто гораздо более
продуманных сборок.

Или ещё пример -- -Wl,--as-needed, который у нас теперь по-умолчанию. То
бишь реально приложения/библиотеки линкуются только с теми библиотеками
которые используются, а не которые были указаны при линковке. Это
позволяет избежать лишних зависимостей (проблема, из-за которой многие так
недолюбливают бинарные дистрибутивы), а также пакеты стараются пилить на
субпакеты с разными зависимостями. Например тот же мой Asterisk распилен
так, чтобы человек, которой не использует отдельные модули не был вынужден
ставить себе библиотеки, с которыми они собраны.

Ещё пример -- у нас идет жестока борьба против статической линковки, в том
числе с использованием автоматизированых средств выявления этой пакости
(более известных как qa-robot Алексея Турбина). А в других дистрибутивах
очень многое линкуется статически.

-- 
С уважением, Денис

http://freesource.info

Настоящий программист уже как минимум поменял три залитых пивом клавиатуры.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

Денис Смирнов пишет:

 Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш
 пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть
 глазками на патчи к glibc и openssh (я смотрел, волосы на голове
 шевелиться начали).

Кстати надо действительно на chrooted глянуть, а то тут возникла мысль один
из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя
он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
программе) средство чрутизаций?

 Кстати, в редхат сделали хотя бы чтобы su/sudo были по-умолчанию доступны
 только члены группы wheel?

Насколько могу знать - да (видел такое в FC4, а может и в сусе какой-то).

 Ну или последний обсуждавшийся пример -- pam'изация многих сервисов, того
 же cron. Которая дает возможность ограничивать ресурсы для запускаемого из
 cron добра.
 Тут долго говорить можно. Главное -- мантейнеры пакетов это те, кто ими
 пользуются, а не те кто их собирает по своим должностным обязанностям. Со
 всеми вытекающими отсюда последствиями в виде часто гораздо более
 продуманных сборок.
 Или ещё пример -- -Wl,--as-needed, который у нас теперь по-умолчанию. То
 бишь реально приложения/библиотеки линкуются только с теми библиотеками
 которые используются, а не которые были указаны при линковке. Это
 позволяет избежать лишних зависимостей (проблема, из-за которой многие так
 недолюбливают бинарные дистрибутивы), а также пакеты стараются пилить на
 субпакеты с разными зависимостями. Например тот же мой Asterisk распилен
 так, чтобы человек, которой не использует отдельные модули не был вынужден
 ставить себе библиотеки, с которыми они собраны.
 Ещё пример -- у нас идет жестока борьба против статической линковки, в том
 числе с использованием автоматизированых средств выявления этой пакости
 (более известных как qa-robot Алексея Турбина). А в других дистрибутивах
 очень многое линкуется статически.

Это-то я знаю, а есть ли примеры не как у нас лучше сделано, а у них
такого нет/не сделано, а у них это сделано плохо/криво?

-- 
С уважением, системный
администратор ООО Крастел,
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-12 Пенетрантность Maxim Tyurin

Evgenii Terechkov writes:

 Денис Смирнов пишет:

 ET Кстати надо действительно на chrooted глянуть, а то тут возникла мысль 
 один
 ET из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя
 ET он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
 ET программе) средство чрутизаций?
 vim :)

 Блин, программер на C из меня как балерина. А может кто какое толковое
 руководство по добавлению поддержки chroot() подскажет?

Это смотря какой chroot.
early chroot делается без патченья программы.

late chroot уже должна уметь делать сама софтина
-- 

With Best Regards, Maxim Tyurin
JID:[EMAIL PROTECTED]
   ___ 
  / _ )__ _  ___  ___ _
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-
//\_,_/_//_/\_, /\_,_/_/  \_,_/___/
   /___/  
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

Maxim Tyurin пишет:

 руководство по добавлению поддержки chroot() подскажет?
 Это смотря какой chroot.
 early chroot делается без патченья программы.
 late chroot уже должна уметь делать сама софтина

А поподробнее где об этом читать? Определения, как делается, различия,
методика и т.п. Я скорее первое имел ввиду сначала, а патченье кода видимо
уже второе.

-- 
С уважением, системный
администратор ООО Крастел,
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

Maxim Tyurin пишет:

 У гугля спросить.
 Много доки выплюнет.
 Для начала можно прочитать статью inger@ и ldv@
 она по Castle но по chroot там есть кусок.

Спасибо конечно за уточнение хоть какое-то, а то гугль то конечно наше всё,
но им иногда просто страшновато тользоваться (надеюсь, это преходящее). :-)

-- 
С уважением, системный
администратор ООО Крастел,
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Aleksey Korotkov

Mikhail Pokidko пишет:

Блин, программер на C из меня как балерина. А может кто какое толковое
руководство по добавлению поддержки chroot() подскажет?
Может подойдет такое - http://thomas.apestaart.org/projects/mach/
Я к нему некоторое время назад приглядывался, и даже собрал, но руки
не дошли попробовать

Интересная штука, посмотрел быстренько/мельком, собрал. Очень похоже (на
первый взгляд) на велосипед, т.е. тьфу, конечно же на наш родимый хэшер.
Только что написано на питоне (и преимущество и недостаток одновременно) и,
вроде, не настолько alt-specific (тоже гуд). Как будет время посмотрю
поближе/пощупаю.

А вообще кто что скажет об использований для этой цели (внешняя по
отношению к сервису/программе/пакету чрутизация) такой вещи как hsh-run?
Запускает же ldv@ лисичку в хэшере, чем мой пакет, который и требует почти
одну basesystem, хуже? Какие есть преимущества/недостатки/фундаментальные
проблемы? Просто я пока только пакеты чуть собирал в хэшере, на hsh-run не
глядел.

--
С уважением, системный
администратор ООО Крастел,
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Sat, 9 Sep 2006 23:58:02 +0400
Денис Смирнов wrote:

 Только с точки зрения человека, который не смотрел в чем разница.
 Послеразборок на тему ну будет у нас дистрибутив с 3-х летней
 поддержкой, мля,когда-нибудь!?! я тоже думал куда свалить. Не куда.
 Грабли другихдистрибутивов оказываются куда хуже, увы.

Поставить RHEL и пусть RH разгребает? :)

-- 
С уважением,
А.В.Коротков,

mailto:[EMAIL PROTECTED]
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Michael Shigorin

On Sun, Sep 10, 2006 at 11:23:50PM +0400, Денис Смирнов wrote:
DD Также пакет должен быть собран в полночь на перекрёстке трёх дорог под
DD сухим деревом. Денис, это уже не первый круг.. Ещё раз:
DD Если мы говорим о _дистрибутиве_, всё, что вы только что сказали,
DD должно быть написано на самом видном месте большими буквами. Чтобы
DD никто случайно не пропустил. А пока этого нет, ни о каком сравнении с
DD Debian или Fedora вообще не может идти речь.
Смотря для кого. Я в курсе отношения большинства мантейнеров к
своим пакетам. Я в курсе насколько они параноики. Они в курсе
моей квалификации, и знают на какие пакеты мне можно разрешать
NMU, а на какие нет.

Плохо, что это цеховой результат выходит. Бишь есть инсайдеры
с немеряным опытом угадывания направления ветра, и есть
непривелегированные остальные. Плохо, когда разница не просто
есть (так всегда), а когда она заметно больше средней по
больнице.

А вообще мы спорим о разных вещах. Я говорю что ALT просто сделан лучше

Это как дома -- одно дело строить, другое -- ремонтировать по
ходу дела. У кого-то лучше получается одно, у кого-то -- другое,
а третий вообще пошил себе палатку и пускает пузыри. :)

--
WBR, Michael Shigorin [EMAIL PROTECTED]
-- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Michael Shigorin

On Sat, Sep 09, 2006 at 10:17:54PM +0500, Aleksey Korotkov wrote:
 MS DD Неуловимый Джо? ;) +1
 MS -1.
 Что не так? :)

Моё мнениё.

 Количество инсталляций Альта, я полагаю, есть о-малое
 количества инсталляций Дебиана.

Да.

 Так что если и имеет место факт (не знаю, не проверял :))
 большего количества взломов Дебиана, то он легко может
 объясняться сим банальным обстоятельством.

Я не склонен считать по взломам $дистро вообще.
Конкретно в этом случае привёл достаточно конкретный
критерий -- системы проекта.

-- 
  WBR, Michael Shigorin [EMAIL PROTECTED]
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Evgenii Terechkov

Денис Смирнов пишет:

AK Поставить RHEL и пусть RH разгребает? :)
Я тут CentOS посмотрел как-то (это который свободный клон RHEL).
Нафиг-нафиг. На серверах, от которых зависит тощина моего кошелька этой
мерзости не будет. Даже если RedHat мне сама платить будет деньги за
работу своей службы техподдержки.
RedHat классная контора, которая финансирует множество гармотных
разработчиков, и активно помогает дижвению OpenSource развиваться. Но
дистрибутивы они делать не умеют, увы.

Денис, а можно эту информация как-то дополнить? Что именно так уж не
понравилось? Нужный тут разумные доводы для (и про Федору тоже подыскиваю).

У меня есть одна машинка на полу-поддержке, но я там не настолько много
делая(ал), чтоб что-то сильно негативное заметить.

Re: [room] безопасности

2006-09-10 Пенетрантность Dmitry Derjavin

On Вск, Сен 10 2006 at 03:36, Денис Смирнов wrote:

Я четко знаю, что если в поле packager у пакета стоит ldv@, то он
поддерживается security team. Я также знаю, что если пакет
серверный, и packager у него mike@ -- этого также достаточно для
уверенности в поддержки.

Также пакет должен быть собран в полночь на перекрёстке трёх дорог под
сухим деревом. Денис, это уже не первый круг.. Ещё раз:

Если мы говорим о _дистрибутиве_, всё, что вы только что сказали,
должно быть написано на самом видном месте большими буквами. Чтобы
никто случайно не пропустил. А пока этого нет, ни о каком сравнении с
Debian или Fedora вообще не может идти речь.

Я также знаю единственный критичный для многих пакет, который
заведомо _не_ поддерживается полноценно -- php.

А знают ли об этом те многие, для кого он критичен? Выкинуть его, и
всё! Зачем людей подставлять-то?

Денис, извините, дальше продолжать спор смысла не вижу. Мы с вами всё
равно останемся каждый при своём мнении. Я просто ещё раз хотел
обратить внимание на то, что дистрибутив в полном объёме до сих пор не
поддерживается, и список поддерживаемых пакетов так и не опубликован.

Почему эта простая вещь до сих пор не сделана, для меня загадка. Но
пока она не сделана, рекомендовать кому-то _дистрибутив_ ALTLinux,
по-моему, безответственно. Это, кстати, просто личное мнение.

--
~dd

___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-10 Пенетрантность Денис Смирнов

On Sun, Sep 10, 2006 at 09:03:48PM +0400, Dmitry Derjavin wrote:

DD Также пакет должен быть собран в полночь на перекрёстке трёх дорог под
DD сухим деревом. Денис, это уже не первый круг.. Ещё раз:
DD Если мы говорим о _дистрибутиве_, всё, что вы только что сказали,
DD должно быть написано на самом видном месте большими буквами. Чтобы
DD никто случайно не пропустил. А пока этого нет, ни о каком сравнении с
DD Debian или Fedora вообще не может идти речь.

Смотря для кого. Я в курсе отношения большинства мантейнеров к своим
пакетам. Я в курсе насколько они параноики. Они в курсе моей квалификации,
и знают на какие пакеты мне можно разрешать NMU, а на какие нет.

Посему мне плевать где что написано. На сайте Microsoft вообще в Get The
Facts написано что Linux это тормозное дорогое угребище. И даже результаты
тестов есть. Я им должен верить, или своему опыту?

Я также знаю единственный критичный для многих пакет, который
заведомо _не_ поддерживается полноценно -- php.
DD А знают ли об этом те многие, для кого он критичен? Выкинуть его, и
DD всё! Зачем людей подставлять-то?

Он, AFAIR, только в SUSE более-менее поддерживается.

DD Денис, извините, дальше продолжать спор смысла не вижу. Мы с вами всё
DD равно останемся каждый при своём мнении. Я просто ещё раз хотел
DD обратить внимание на то, что дистрибутив в полном объёме до сих пор не
DD поддерживается, и список поддерживаемых пакетов так и не опубликован.
DD Почему эта простая вещь до сих пор не сделана, для меня загадка. Но
DD пока она не сделана, рекомендовать кому-то _дистрибутив_ ALTLinux,
DD по-моему, безответственно. Это, кстати, просто личное мнение.

Вместе с рекомендацией я еще могу и сказать где грабли лежат. В случае с
федорой этого вообще никто не знает.

У ALT очень большой порог вхождения, действительно. Но он себя окупает.

А вообще мы спорим о разных вещах. Я говорю что ALT просто сделан лучше,
что есть многие механизмы безопасности которых нет в продукции
красношляпых и Novell, а также в Debian, что мантейнеры в среднем по
больнице гораздо более доступны для быстрого исправления багов и даже
внесения улучшений, а также что ключевые пакеты находятся в очень хороших
руках.

В ответ слышу ALT хуже, потому что слабо документирована политика.
Сраниваем теплое с мягким, однако.

Для меня работоспособность важнее документирвоанности. Если вам наоборот,
то нам не о чем спорить, ибо разные приоритеты заведомо дадут разные
решения.

--
С уважением, Денис

http://freesource.info

Ну, товарищи, я и такой и есть, гм.. академичный, с лёгким надутием щёк.
-- kirill in docs@
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Dmitry Derjavin

On Сбт, Сен 09 2006 at 03:45, Денис Смирнов wrote:

 А теперь достаточно посмотреть кто мантейнер ключевых компонент
 дистрибутива, и сделать вывод :)

Тут, по-моему, о другом: важно не только качество ключевых
компонент, но и оперативность обновлений. Алексей предложил хороший
эксперимент для проверки устойчивости дистрибутива к взлому. А пример
с серверами на выставках не показателен, т. к. там были не столько
сервера под ALTLinux, сколько сервера под управлением [EMAIL PROTECTED] Это же
совершенно разные вещи!

-- 
~dd

___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Nick S. Grechukh

вот и слоган готов - только с ALT вы получаете сервер под управлением
ldv из коробки %)

On 9/9/06, Dmitry Derjavin [EMAIL PROTECTED] wrote:
 On Сбт, Сен 09 2006 at 03:45, Денис Смирнов wrote:

  А теперь достаточно посмотреть кто мантейнер ключевых компонент
  дистрибутива, и сделать вывод :)

 Тут, по-моему, о другом: важно не только качество ключевых
 компонент, но и оперативность обновлений. Алексей предложил хороший
 эксперимент для проверки устойчивости дистрибутива к взлому. А пример
 с серверами на выставках не показателен, т. к. там были не столько
 сервера под ALTLinux, сколько сервера под управлением [EMAIL PROTECTED] Это же
 совершенно разные вещи!

 --
 ~dd

 ___
 smoke-room mailing list
 smoke-room@lists.altlinux.org
 https://lists.altlinux.org/mailman/listinfo/smoke-room
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Aleksey Novodvorsky

On 9/9/06, Dmitry Derjavin [EMAIL PROTECTED] wrote:
 On Сбт, Сен 09 2006 at 03:45, Денис Смирнов wrote:

  А теперь достаточно посмотреть кто мантейнер ключевых компонент
  дистрибутива, и сделать вывод :)

 Тут, по-моему, о другом: важно не только качество ключевых
 компонент, но и оперативность обновлений. Алексей предложил хороший
 эксперимент для проверки устойчивости дистрибутива к взлому. А пример
 с серверами на выставках не показателен, т. к. там были не столько
 сервера под ALTLinux, сколько сервера под управлением [EMAIL PROTECTED]

Это не так. Там было все из коробки + security updates.
Впрочем, почти все претензии справедливы, я хочу просто этим отметить,
что тот же ldv@ не выпустит за порог Master, который не поставит себе.

Rgrds, Алексей

 Это же
 совершенно разные вещи!

 --
 ~dd

 ___
 smoke-room mailing list
 smoke-room@lists.altlinux.org
 https://lists.altlinux.org/mailman/listinfo/smoke-room
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Michael Shigorin

On Sat, Sep 09, 2006 at 02:23:40AM +0400, Dmitry Derjavin wrote:
По-моему, сравнивать можно только так: ставим рядом два
сервера -- один с Альтом, другой с Дебианом, накатываем все
имеющиеся для данного дистрибутива секурные патчи (если
таковые есть), настраиваем и нанимаем команду взломщиков.
После чего анализируем: что взломано, за какое время,
насколько хреновые последствия и т.д. и т.п. А так всё
абстракции.
Специально выставляли альт (на выставках в инет). Правда,
готовил его Дима, но давали сразу шелл.
Михаил, если готовил его ldv@, и не предусматривал при этом
_специально_ возможности для взлома,

Видимо.

то это превращает всю затею в фарс.

Не совсем. Дырки-то там были. Просто некоторые из них были
обнаружены позже и не теми, кто пытался.

Там же не зря для успешно показавших рутшелл было предложение
в ALT Security Team. ;-)

Можно давать не просто шелл, а сразу рутовый шелл -- всё равно
не взломают. ;)

Смотря что подразумевать под взломом. Тут оно целью и было.

Короче говоря, с дистром, в котором basesystem делает Дима,
а ядро -- vsu@, мне лично спокойнее, чем с дебианом -- уже
из-за того, что там ядро принято пересобирать.

На фоне недавних имений машин debian.org может показаться
более интересным то, что мне неизвестен факт имения машин
altlinux.org,
Неуловимый Джо? ;)

Не знаю, но не уверен.

--
WBR, Michael Shigorin [EMAIL PROTECTED]
-- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Michael Shigorin

On Sat, Sep 09, 2006 at 11:24:26AM +0300, Nick S. Grechukh wrote:
 вот и слоган готов - только с ALT вы получаете сервер под
 управлением ldv из коробки %)

8-)

Но это всё-таки маркетинг, причём неудачный -- мало кто из тех,
кто ведётся на маркетинг, знает Диму, а те, кто знает -- скорее
не ведутся (тем паче что тогда это неправда -- управление и
сборка суть разные вещи).
 
  Тут, по-моему, о другом: важно не только качество ключевых
  компонент, но и оперативность обновлений.

Да, конечно.

-- 
  WBR, Michael Shigorin [EMAIL PROTECTED]
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Michael Shigorin

On Sat, Sep 09, 2006 at 09:57:58AM +0500, Aleksey Korotkov wrote:
 DD Неуловимый Джо? ;)
 +1

-1.

-- 
  WBR, Michael Shigorin [EMAIL PROTECTED]
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Sat, Sep 09, 2006 at 12:15:08PM +0400, Dmitry Derjavin wrote:

DD Тут, по-моему, о другом: важно не только качество ключевых
DD компонент, но и оперативность обновлений. Алексей предложил хороший
DD эксперимент для проверки устойчивости дистрибутива к взлому. А пример
DD с серверами на выставках не показателен, т. к. там были не столько
DD сервера под ALTLinux, сколько сервера под управлением [EMAIL PROTECTED] Это
же
DD совершенно разные вещи!

Есть такая интересная штука, по поводу оперативности обновлений.
Называется рынок 0-day эксплойтов. А ещё кто-то может найти дырку раньше,
чем её найдет тот, кто удосужится проинформировать авторов.

Самый радужный для пользователя вариант:
1. некто нашел багу;
2. проинформирвал авторов;
3. авторы почесали репу и сделали патч (или даже тот самый некто его
прислал, и им его надо было только приложить);
4. формируется выпуск новой версии;
5. рассылается уведомление в соответствующих списках рассылки;
6. выходит обновления для дистрибутива
7. обновляемся и успокаиваемся

Так вот, между 1-м и 7-м пунктом проходит куда больше времени, чем между
просто 5-м и 6-м. Поэтому может быть важно ещё и то, что некоторые
мантейнеры могут получать такую информацию уже после 1-го пункта. И это
добавляет оперативности.

А ещё есть такая проблема -- система должна быть более-менее безопасна
даже пока не вышло обновление. И для этого используются многие трюки
(вроде privilege separation в openssh). Или -fpie, который ldv@ грозится
по-умолчанию использовать при сборки всех пакетов. В ту же степь chrooted
сервисы, запуск чего только можно не из пор рута, и т.д.

Софта без багов не существует. Существуют только меры, позволяющие
уменьшить опасность этих багов.

И вот с этой точки зрения Debian вообще не пригоден как дистрибутив. Судя
по тому что я читал -- Ubuntu по крайней мере начали об этом задумываться.
А в ALT это just works.

Потому я с куда более спокойным сердцем буду поднимать сервер на
произвольном снапшоте Сизифе, чем на Debian, или (простите за нехорошее
слово) Fedora.

--
С уважением, Денис

http://freesource.info

a long time ago, in a package far, far away ... fixed
-- viy in #2902
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Aleksey Korotkov

On Sat, Sep 09, 2006 at 04:03:27PM +0300, Michael Shigorin wrote:

MS Короче говоря, с дистром, в котором basesystem делает Дима,
MS а ядро -- vsu@, мне лично спокойнее, чем с дебианом -- уже
MS из-за того, что там ядро принято пересобирать.

Ну, здесь тоже мне ядро бывало приходилось пересобирать (ошметки этого до
сих пор в kernel cvs валяются). Только базировались они на ядро от vsu@
плюс пара мелких изменений.

 более интересным то, что мне неизвестен факт имения машин
 altlinux.org,
 Неуловимый Джо? ;)
MS Не знаю, но не уверен.

Если я правильно помню, то там причины были в элементарной халатности
администраторов Debian. По крайней мере один из этих взломов, помнится,
был сделан через полгода как пофикшеную дырку. А у нас, если я правильно
понял, все это счастье поддерживает [EMAIL PROTECTED]

Так что критерием скорее уж не взлом wiki.sisyphus.ru/freesource.info,
админ которых (то бишь я) все таки редкостный раздолбай.

-- 
С уважением, Денис

http://freesource.info

Лучше не постить в рассылку после принятия пива.
-- ldv in sisyphus@
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Dmitry Derjavin

On Сбт, Сен 09 2006 at 13:40, Aleksey Novodvorsky wrote:

 А пример с серверами на выставках не показателен, т. к. там были не
 столько сервера под ALTLinux, сколько сервера под управлением [EMAIL 
 PROTECTED]

 Это не так. Там было все из коробки + security updates.

http://article.gmane.org/gmane.linux.altlinux.community/6209
http://article.gmane.org/gmane.linux.altlinux.community/6260

 Впрочем, почти все претензии справедливы, я хочу просто этим
 отметить, что тот же ldv@ не выпустит за порог Master, который не
 поставит себе.

http://article.gmane.org/gmane.linux.altlinux.community/16575

-- 
~dd

___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Sat, 9 Sep 2006 16:05:32 +0300
Michael Shigorin wrote:

MS DD Неуловимый Джо? ;) +1
MS -1.

Что не так? :)

Количество инсталляций Альта, я полагаю, есть о-малое количества
инсталляций Дебиана. Так что если и имеет место факт (не знаю, не
проверял :)) большего количества взломов Дебиана, то он легко может
объясняться сим банальным обстоятельством.

-- 
С уважением,
А.В.Коротков,

mailto:[EMAIL PROTECTED]
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Sat, Sep 09, 2006 at 10:17:54PM +0500, Aleksey Korotkov wrote:

AK Количество инсталляций Альта, я полагаю, есть о-малое количества
AK инсталляций Дебиана. Так что если и имеет место факт (не знаю, не
AK проверял :)) большего количества взломов Дебиана, то он легко может
AK объясняться сим банальным обстоятельством.

Только с точки зрения человека, который не смотрел в чем разница. После
разборок на тему ну будет у нас дистрибутив с 3-х летней поддержкой, мля,
когда-нибудь!?! я тоже думал куда свалить. Не куда. Грабли других
дистрибутивов оказываются куда хуже, увы.

-- 
С уважением, Денис

http://freesource.info

Как обычно новое еще допиливать придется.
-- zerg in devel@
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Dmitry Derjavin

On Сбт, Сен 09 2006 at 19:54, Денис Смирнов wrote:

И вот с этой точки зрения Debian вообще не пригоден как
дистрибутив. Судя по тому что я читал -- Ubuntu по крайней мере
начали об этом задумываться. А в ALT это just works.

Денис, давайте не бросаться словами. Вам ведь могут и поверить.
Алексей чуть выше по треду предложил хороший эксперимент. Не нравится
такой способ проверки устойчивости дистрибутива к взлому -- предложите
свой. А не проверили, так нечего трепаться.

Хвастаться тут особо нечем.. У Debian и даже Fedora есть очень мощное,
на мой взгляд, преимущество -- они предсказуемы. На них можно
рассчитывать. Конечно, они не так прозрачны, как Owl или OpenBSD, но
для них можно с достаточной степенью уверенности прогнозировать
дальнейшее развитие событий. С ними можно (хоть) что-то планировать.

Меня, как админа, пугает ситуация, когда неожиданно может выясниться,
что входящий в дистрибутив пакет молча не поддерживается security
team, так как по их мнению он крив и поддержки недостоин. А кто его
включил в дистрибутив, тот пусть сам и поддерживает. И если вас, как
админа, такая ситуация не пугает, то вы, извините, пугаете меня, как
админ.

--
~dd

___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности