subject:"Re\: \[room\] безопасности"

2006-09-16 Пенетрантность Nick S. Grechukh

On Sat, Sep 16, 2006 at 01:50:31PM +0400, Денис Смирнов wrote:
> Я вот думаю, а не сделать ли мне вид что параноик уже клинический?
> 1. прикрутить возможность к nginx запускать две копии -- одна в чруте
> (фронтенд), другая нет (чтобы иметь доступ к static www).
> 2. вторую копию таки тоже чрутить, но уже в корень static www.
> 3. apache стартовать сразу же не от рута, пущай висит себе на
> 127.0.0.1:8080 каком.

Вот о (3) я тоже подумывал.  control(8)able, типа.

> Сейчас критическая точка сам nginx -- ошибка в нем означает
> компрометацию всей системы. Нехорошо, однако.

Гм, а у меня для того есть iptables/DNAT.

-- 
  WBR, Michael Shigorin <[EMAIL PROTECTED]>
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

а и мне плиз

On 9/16/06, Evgenii Terechkov <[EMAIL PROTECTED]> wrote:
> Денис Смирнов пишет:
>
> > MS> $ ls -hogl mail/flame/fedora
> > MS> -rw---  1 90K Jun 17 16:58 mail/flame/fedora
> > MS> Прислать? :)
> > Да!
>
> +1.В смысле мне тоже "Да!".
>
> --
> С уважением,
> системный администратор
> ООО "Крастел"
> Терешков Евгений.
> ___
> smoke-room mailing list
> smoke-room@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/smoke-room
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-16 Пенетрантность Evgenii Terechkov

Денис Смирнов пишет:

> MS> $ ls -hogl mail/flame/fedora
> MS> -rw---  1 90K Jun 17 16:58 mail/flame/fedora
> MS> Прислать? :)
> Да!

+1.В смысле мне тоже "Да!".

-- 
С уважением,
системный администратор
ООО "Крастел"
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-16 Пенетрантность Денис Смирнов

On Sat, Sep 16, 2006 at 12:22:54PM +0300, Michael Shigorin wrote:

MS> Можно при помощи e.g. mod_chroot засунуть тогда, когда сам apache
MS> по крайней мере уже взлетел и слинковался со всем, что нужно
MS> (включая то, что нужно модулям).
MS> А это си.  Правда, уже пару-тройку раз сделано.

Я вот думаю, а не сделать ли мне вид что параноик уже клинический?

1. прикрутить возможность к nginx запускать две копии -- одна в чруте
(фронтенд), другая нет (чтобы иметь доступ к static www).
2. вторую копию таки тоже чрутить, но уже в корень static www.
3. apache стартовать сразу же не от рута, пущай висит себе на
127.0.0.1:8080 каком.

Сейчас критическая точка сам nginx -- ошибка в нем означает компрометацию
всей системы. Нехорошо, однако.

-- 
С уважением, Денис

http://freesource.info

inger, zerg: как вы такое отлаживаете-то?  поделитесь секретами :)
-- mike in #6964
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-16 Пенетрантность Денис Смирнов

On Sat, Sep 16, 2006 at 12:17:52PM +0300, Michael Shigorin wrote:

MS> $ ls -hogl mail/flame/fedora
MS> -rw---  1 90K Jun 17 16:58 mail/flame/fedora
MS> Прислать? :)

Да!

-- 
С уважением, Денис

http://freesource.info

И кому приходят в голову мысли запускать скриптовых демонов?
-- ldv in devel@
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Tue, Sep 12, 2006 at 04:31:19PM +0800, Evgenii Terechkov wrote:
> >> руководство по добавлению поддержки chroot() подскажет?
> > Это смотря какой chroot.
> > early chroot делается без патченья программы.
> > late chroot уже должна уметь делать сама софтина
> А поподробнее где об этом читать? Определения, как делается,
> различия, методика и т.п. Я скорее первое имел ввиду сначала, а
> патченье кода видимо уже второе.

Рассмотрим апач.  Можно его при помощи chroot(1) засунуть весь,
но это обычно практически бессмысленно (если уж, то разумней
в jail или контейнер), поскольку чрут не будет "бедным" в силу
обычной специфики работы веб-сервера и приложений на нём.

Но это шелл.

Можно при помощи e.g. mod_chroot засунуть тогда, когда сам apache
по крайней мере уже взлетел и слинковался со всем, что нужно
(включая то, что нужно модулям).

А это си.  Правда, уже пару-тройку раз сделано.

-- 
  WBR, Michael Shigorin <[EMAIL PROTECTED]>
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Tue, Sep 12, 2006 at 04:16:04PM +0800, Evgenii Terechkov wrote:
> > ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль 
> > один
> > ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). 
> > Хотя
> > ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
> > ET> программе) средство чрутизаций?
> > vim :)
> Блин, программер на C из меня как балерина. А может кто какое
> толковое руководство по добавлению поддержки chroot()
> подскажет?

Иногда достаточно chroot(1)/chrootuid(1).
Впрочем, с этим лучше перебираться в [EMAIL PROTECTED]

-- 
  WBR, Michael Shigorin <[EMAIL PROTECTED]>
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-12 Пенетрантность Денис Смирнов

On Tue, Sep 12, 2006 at 01:56:41PM +0800, Evgenii Terechkov wrote:
> > RedHat классная контора, которая финансирует множество
> > гармотных разработчиков, и активно помогает дижвению
> > OpenSource развиваться. Но дистрибутивы они делать не умеют,
> > увы.
> Денис, а можно эту информация как-то дополнить? Что именно так
> уж не понравилось? Нужный тут разумные доводы для (и про Федору
> тоже подыскиваю).

$ ls -hogl mail/flame/fedora
-rw---  1 90K Jun 17 16:58 mail/flame/fedora

Прислать? :)

-- 
  WBR, Michael Shigorin <[EMAIL PROTECTED]>
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-13 Пенетрантность evg

Денис Смирнов пишет:

> Ой не знаю. Обычно тут, увы, придется сначала программировать на C. Хотя
> если программа простая, то достаточно просто сразу после старта сделать
> chdir("chroot path");
> chrot("chroot path");

Угу. Ещё с правами надо разобраться. Как-то нужно правильно от пользователя
запускать (оно может, просто мне не приходилось ещё).

> ET> На предмет этого у хочу глянуть chrooted. У меня есть пакет с чрученым
> ET> серсисом, но там ничего то копировать и не нужно, это ведь скорее
> ET> исключение.
> В общем да. Хотя сильно зависит от того, в какой момент что приложение
> делает после запуска. И в какой момент чрутится.

"Нужко копать"(с).

>>> Собственно отсутствие целого пласта средств увеличения надежности, которые
>>> мы используем это отсутствие фичи, или просто хреновая работа их QA?
> ET> Скорее уж второе, причём лучше приянятую как официальная позиция, длящяеся
> ET> уже какое-то время.
> Вот и я о том же.

И я :-). На конкретные "гвозди" (по сравнению с нашей "соломкой") пока не
натыкался.

-- 
Терешков Евгений, ALT Linux team.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Wed, Sep 13, 2006 at 09:31:46AM +0800, Evgenii Terechkov wrote:

ET> А вообще кто что скажет об использований для этой цели (внешняя по
ET> отношению к сервису/программе/пакету чрутизация) такой вещи как hsh-run?
ET> Запускает же ldv@ лисичку в хэшере, чем мой пакет, который и требует почти
ET> одну basesystem, хуже? Какие есть преимущества/недостатки/фундаментальные
ET> проблемы? Просто я пока только пакеты чуть собирал в хэшере, на hsh-run не
ET> глядел.

hsh-run все-таки больше не для сервисов, а для приложений. И для запуска
сервиса я бы все-таки предпочел его пропатчить на чрут, и, если не умеет,
научить запускаться от пользователя.

-- 
С уважением, Денис

http://freesource.info

 * Nikon откопал архив с советскими мультиками 
 Nikon: госфильмофонд хакнул? ;-)
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-12 Пенетрантность Денис Смирнов

On Tue, Sep 12, 2006 at 04:16:04PM +0800, Evgenii Terechkov wrote:

>> vim :)
ET> Блин, программер на C из меня как балерина. А может кто какое толковое
ET> руководство по добавлению поддержки chroot() подскажет?

Ой не знаю. Обычно тут, увы, придется сначала программировать на C. Хотя
если программа простая, то достаточно просто сразу после старта сделать
chdir("chroot path");
chrot("chroot path");

Ну и посмотреть пакет chrooted, чтобы правильно сформировать содержимое
чрута.

>> chrooted это чтобы копировать части системы, требуемые для приложения в
>> чрут. Например библиотеки, от которых зависит приложение и конфиги вроде
>> hosts.
ET> На предмет этого у хочу глянуть chrooted. У меня есть пакет с чрученым
ET> серсисом, но там ничего то копировать и не нужно, это ведь скорее
ET> исключение.

В общем да. Хотя сильно зависит от того, в какой момент что приложение
делает после запуска. И в какой момент чрутится.

> ET>> Это-то я знаю, а есть ли примеры не "как у нас лучше сделано, а у них
> ET>> такого нет/не сделано", а "у них это сделано плохо/криво"?
>> Хороший вопрос... Не знаю. Как трактовать отсутствие некоторых из патчей,
>> которые ldv@ успешно прикладывает, а в FC их нет -- отсутствием фичи или
>> просто кривой сборкой?
ET> Отсутствие фичи, ИМХО. Интереснее второе.

Если это патчи безопасности, а не добавление функционала -- то это
багфикс. А в FC его отсутствие.

>> Собственно отсутствие целого пласта средств увеличения надежности, которые
>> мы используем это отсутствие фичи, или просто хреновая работа их QA?
ET> Скорее уж второе, причём лучше приянятую как официальная позиция, длящяеся
ET> уже какое-то время.

Вот и я о том же.

-- 
С уважением, Денис

http://freesource.info

Если отладка - уничтожение багов, то программирование - их создание.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

"Mikhail Pokidko" пишет:

>> Блин, программер на C из меня как балерина. А может кто какое толковое
>> руководство по добавлению поддержки chroot() подскажет?
> Может подойдет такое - http://thomas.apestaart.org/projects/mach/
> Я к нему некоторое время назад приглядывался, и даже собрал, но руки
> не дошли попробовать

Интересная штука, посмотрел быстренько/мельком, собрал. Очень похоже (на
первый взгляд) на велосипед, т.е. тьфу, конечно же на наш родимый хэшер.
Только что написано на питоне (и преимущество и недостаток одновременно) и,
вроде, не настолько alt-specific (тоже гуд). Как будет время посмотрю
поближе/пощупаю.

А вообще кто что скажет об использований для этой цели (внешняя по
отношению к сервису/программе/пакету чрутизация) такой вещи как hsh-run?
Запускает же ldv@ лисичку в хэшере, чем мой пакет, который и требует почти
одну basesystem, хуже? Какие есть преимущества/недостатки/фундаментальные
проблемы? Просто я пока только пакеты чуть собирал в хэшере, на hsh-run не
глядел.

-- 
С уважением, системный
администратор ООО "Крастел",
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-12 Пенетрантность Mikhail Pokidko

12.09.06, Evgenii Terechkov<[EMAIL PROTECTED]> написал(а):
> Денис Смирнов пишет:
>
> > ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль 
> > один
> > ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). 
> > Хотя
> > ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
> > ET> программе) средство чрутизаций?
> > vim :)
>
> Блин, программер на C из меня как балерина. А может кто какое толковое
> руководство по добавлению поддержки chroot() подскажет?
Может подойдет такое - http://thomas.apestaart.org/projects/mach/
Я к нему некоторое время назад приглядывался, и даже собрал, но руки
не дошли попробовать


-- 

___
Михаил Покидько
системный администратор
Группа компаний "Ангел"
e-mail: [EMAIL PROTECTED]
jid: [EMAIL PROTECTED]
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

Maxim Tyurin пишет:

> У гугля спросить.
> Много доки выплюнет.
> Для начала можно прочитать статью inger@ и ldv@
> она по Castle но по chroot там есть кусок.

Спасибо конечно за уточнение хоть какое-то, а то гугль то конечно наше всё,
но им иногда просто страшновато тользоваться (надеюсь, это преходящее). :-)

-- 
С уважением, системный
администратор ООО "Крастел",
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-12 Пенетрантность Maxim Tyurin

Evgenii Terechkov writes:

> Maxim Tyurin пишет:
>
>>> руководство по добавлению поддержки chroot() подскажет?
>> Это смотря какой chroot.
>> early chroot делается без патченья программы.
>> late chroot уже должна уметь делать сама софтина
>
> А поподробнее где об этом читать? Определения, как делается, различия,
> методика и т.п. Я скорее первое имел ввиду сначала, а патченье кода видимо
> уже второе.

У гугля спросить.
Много доки выплюнет.
Для начала можно прочитать статью inger@ и ldv@
она по Castle но по chroot там есть кусок.
-- 

With Best Regards, Maxim Tyurin
JID:[EMAIL PROTECTED]
   ___ 
  / _ )__ _  ___  ___ _
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
//\_,_/_//_/\_, /\_,_/_/  \_,_/___/
   /___/  
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

Maxim Tyurin пишет:

>> руководство по добавлению поддержки chroot() подскажет?
> Это смотря какой chroot.
> early chroot делается без патченья программы.
> late chroot уже должна уметь делать сама софтина

А поподробнее где об этом читать? Определения, как делается, различия,
методика и т.п. Я скорее первое имел ввиду сначала, а патченье кода видимо
уже второе.

-- 
С уважением, системный
администратор ООО "Крастел",
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-12 Пенетрантность Maxim Tyurin

Evgenii Terechkov writes:

> Денис Смирнов пишет:
>
>> ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль 
>> один
>> ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя
>> ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
>> ET> программе) средство чрутизаций?
>> vim :)
>
> Блин, программер на C из меня как балерина. А может кто какое толковое
> руководство по добавлению поддержки chroot() подскажет?

Это смотря какой chroot.
early chroot делается без патченья программы.

late chroot уже должна уметь делать сама софтина
-- 

With Best Regards, Maxim Tyurin
JID:[EMAIL PROTECTED]
   ___ 
  / _ )__ _  ___  ___ _
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
//\_,_/_//_/\_, /\_,_/_/  \_,_/___/
   /___/  
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-12 Пенетрантность Денис Смирнов

Денис Смирнов пишет:

> ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль 
> один
> ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя
> ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
> ET> программе) средство чрутизаций?
> vim :)

Блин, программер на C из меня как балерина. А может кто какое толковое
руководство по добавлению поддержки chroot() подскажет?

> chrooted это чтобы копировать части системы, требуемые для приложения в
> чрут. Например библиотеки, от которых зависит приложение и конфиги вроде
> hosts.

На предмет этого у хочу глянуть chrooted. У меня есть пакет с чрученым
серсисом, но там ничего то копировать и не нужно, это ведь скорее
исключение.

> ET> Это-то я знаю, а есть ли примеры не "как у нас лучше сделано, а у них
> ET> такого нет/не сделано", а "у них это сделано плохо/криво"?
> Хороший вопрос... Не знаю. Как трактовать отсутствие некоторых из патчей,
> которые ldv@ успешно прикладывает, а в FC их нет -- отсутствием фичи или
> просто кривой сборкой?

Отсутствие фичи, ИМХО. Интереснее второе.

> Собственно отсутствие целого пласта средств увеличения надежности, которые
> мы используем это отсутствие фичи, или просто хреновая работа их QA?

Скорее уж второе, причём лучше приянятую как официальная позиция, длящяеся
уже какое-то время.

-- 
С уважением, системный
администратор ООО "Крастел",
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Tue, Sep 12, 2006 at 03:22:53PM +0800, Evgenii Terechkov wrote:

>> Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш
>> пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть
>> глазками на патчи к glibc и openssh (я смотрел, волосы на голове
>> шевелиться начали).
ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль один
ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя
ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
ET> программе) средство чрутизаций?

vim :)

chrooted это чтобы копировать части системы, требуемые для приложения в
чрут. Например библиотеки, от которых зависит приложение и конфиги вроде
hosts.

>> Ещё пример -- у нас идет жестока борьба против статической линковки, в том
>> числе с использованием автоматизированых средств выявления этой пакости
>> (более известных как qa-robot Алексея Турбина). А в других дистрибутивах
>> очень многое линкуется статически.
ET> Это-то я знаю, а есть ли примеры не "как у нас лучше сделано, а у них
ET> такого нет/не сделано", а "у них это сделано плохо/криво"?

Хороший вопрос... Не знаю. Как трактовать отсутствие некоторых из патчей,
которые ldv@ успешно прикладывает, а в FC их нет -- отсутствием фичи или
просто кривой сборкой?

Собственно отсутствие целого пласта средств увеличения надежности, которые
мы используем это отсутствие фичи, или просто хреновая работа их QA?

Опять же с проверкой на статическую сборку -- я считаю необоснованую
статическую сборку blocker'ом, потому как в случае нахождения ошибки в
библиотеке надо пересобирать только её, а не кучу софта (притом неясно
какого именно).

-- 
С уважением, Денис

http://freesource.info

Русские программисты всегда в настроении для программирования.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-12 Пенетрантность Eugene Prokopiev

Evgenii Terechkov пишет:
> Денис Смирнов пишет:
> 
> 
>>Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш
>>пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть
>>глазками на патчи к glibc и openssh (я смотрел, волосы на голове
>>шевелиться начали).
> 
> 
> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль один
> из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя
> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
> программе) средство чрутизаций?

совсем внешнее - это ovz/vserver/...

сервисы, которые у нас сидят в чруте, насколько я понимаю, патченные.

-- 
С уважением, Прокопьев Евгений

___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Денис Смирнов

Денис Смирнов пишет:

> Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш
> пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть
> глазками на патчи к glibc и openssh (я смотрел, волосы на голове
> шевелиться начали).

Кстати надо действительно на chrooted глянуть, а то тут возникла мысль один
из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя
он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к
программе) средство чрутизаций?

> Кстати, в редхат сделали хотя бы чтобы su/sudo были по-умолчанию доступны
> только члены группы wheel?

Насколько могу знать - да (видел такое в FC4, а может и в сусе какой-то).

> Ну или последний обсуждавшийся пример -- pam'изация многих сервисов, того
> же cron. Которая дает возможность ограничивать ресурсы для запускаемого из
> cron добра.
> Тут долго говорить можно. Главное -- мантейнеры пакетов это те, кто ими
> пользуются, а не те кто их собирает по своим должностным обязанностям. Со
> всеми вытекающими отсюда последствиями в виде часто гораздо более
> продуманных сборок.
> Или ещё пример -- -Wl,--as-needed, который у нас теперь по-умолчанию. То
> бишь реально приложения/библиотеки линкуются только с теми библиотеками
> которые используются, а не которые были указаны при линковке. Это
> позволяет избежать лишних зависимостей (проблема, из-за которой многие так
> недолюбливают бинарные дистрибутивы), а также пакеты стараются пилить на
> субпакеты с разными зависимостями. Например тот же мой Asterisk распилен
> так, чтобы человек, которой не использует отдельные модули не был вынужден
> ставить себе библиотеки, с которыми они собраны.
> Ещё пример -- у нас идет жестока борьба против статической линковки, в том
> числе с использованием автоматизированых средств выявления этой пакости
> (более известных как qa-robot Алексея Турбина). А в других дистрибутивах
> очень многое линкуется статически.

Это-то я знаю, а есть ли примеры не "как у нас лучше сделано, а у них
такого нет/не сделано", а "у них это сделано плохо/криво"?

-- 
С уважением, системный
администратор ООО "Крастел",
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Tue, Sep 12, 2006 at 01:56:41PM +0800, Evgenii Terechkov wrote:

ET> Денис, а можно эту информация как-то дополнить? Что именно так уж не
ET> понравилось? Нужный тут разумные доводы для (и про Федору тоже подыскиваю).
ET> У меня есть одна машинка на полу-поддержке, но я там не настолько много
ET> делая(ал), чтоб что-то сильно негативное заметить.

Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш
пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть
глазками на патчи к glibc и openssh (я смотрел, волосы на голове
шевелиться начали).

Кстати, в редхат сделали хотя бы чтобы su/sudo были по-умолчанию доступны
только члены группы wheel?

Ну или последний обсуждавшийся пример -- pam'изация многих сервисов, того
же cron. Которая дает возможность ограничивать ресурсы для запускаемого из
cron добра.

Тут долго говорить можно. Главное -- мантейнеры пакетов это те, кто ими
пользуются, а не те кто их собирает по своим должностным обязанностям. Со
всеми вытекающими отсюда последствиями в виде часто гораздо более
продуманных сборок.

Или ещё пример -- -Wl,--as-needed, который у нас теперь по-умолчанию. То
бишь реально приложения/библиотеки линкуются только с теми библиотеками
которые используются, а не которые были указаны при линковке. Это
позволяет избежать лишних зависимостей (проблема, из-за которой многие так
недолюбливают бинарные дистрибутивы), а также пакеты стараются пилить на
субпакеты с разными зависимостями. Например тот же мой Asterisk распилен
так, чтобы человек, которой не использует отдельные модули не был вынужден
ставить себе библиотеки, с которыми они собраны.

Ещё пример -- у нас идет жестока борьба против статической линковки, в том
числе с использованием автоматизированых средств выявления этой пакости
(более известных как qa-robot Алексея Турбина). А в других дистрибутивах
очень многое линкуется статически.

-- 
С уважением, Денис

http://freesource.info

Настоящий программист уже как минимум поменял три залитых пивом клавиатуры.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Evgenii Terechkov

Денис Смирнов пишет:

> AK> Поставить RHEL и пусть RH разгребает? :)
> Я тут CentOS посмотрел как-то (это который свободный клон RHEL).
> Нафиг-нафиг. На серверах, от которых зависит тощина моего кошелька этой
> мерзости не будет. Даже если RedHat мне сама платить будет деньги за
> работу своей службы техподдержки.
> RedHat классная контора, которая финансирует множество гармотных
> разработчиков, и активно помогает дижвению OpenSource развиваться. Но
> дистрибутивы они делать не умеют, увы.

Денис, а можно эту информация как-то дополнить? Что именно так уж не
понравилось? Нужный тут разумные доводы для (и про Федору тоже подыскиваю).

У меня есть одна машинка на полу-поддержке, но я там не настолько много
делая(ал), чтоб что-то сильно негативное заметить.

-- 
С уважением, системный
администратор ООО "Крастел",
Терешков Евгений.
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Денис Смирнов

On Mon, Sep 11, 2006 at 08:45:00PM +0300, Michael Shigorin wrote:

MS> Плохо, что это цеховой результат выходит. Бишь есть инсайдеры
MS> с немеряным опытом угадывания направления ветра, и есть
MS> непривелегированные остальные. Плохо, когда разница не просто
MS> есть (так всегда), а когда она заметно больше средней по
MS> больнице.

Увы, сейчас на сервере использовать ALT я могу рекомендовать только тем,
кто в списке своих друзей или партнеров имеет мантейнеров. Причем со
стажем не менее года.

>> А вообще мы спорим о разных вещах. Я говорю что ALT просто сделан лучше

MS> Это как дома -- одно дело строить, другое -- ремонтировать по
MS> ходу дела. У кого-то лучше получается одно, у кого-то -- другое,
MS> а третий вообще пошил себе палатку и пускает пузыри. :)

Просто я крайне плохой админ. Но неплохой программер и не самый плохой
мантейнер. Потому как моё раздолбайство приводит к тому, что в нормальном
состоянии только системы клиентов -- на своем сервере мне может быть
годами лениво софт обновить.

При этом я, такой вот нехороший, хочу чтобы этот сервер несмотря на моё
раздолбайство работал как часы. И ALT мне это позволяет. Потому как можно
один раз настроить, и потом уже не париться.

--
С уважением, Денис

http://freesource.info

> $ grep mkdir /usr/lib/rpm/macros
Лучше rpm --showrc|grep, т.к. макросы еще и в /etc/rpm лежат.
-- wrar in sisyphus@
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Денис Смирнов

On Mon, Sep 11, 2006 at 05:21:26PM +0500, Aleksey Korotkov wrote:

>> Только с точки зрения человека, который не смотрел в чем разница.
>> Послеразборок на тему "ну будет у нас дистрибутив с 3-х летней
>> поддержкой, мля,когда-нибудь!?!" я тоже думал куда свалить. Не куда.
>> Грабли другихдистрибутивов оказываются куда хуже, увы.
AK> Поставить RHEL и пусть RH разгребает? :)

Я тут CentOS посмотрел как-то (это который свободный клон RHEL).
Нафиг-нафиг. На серверах, от которых зависит тощина моего кошелька этой
мерзости не будет. Даже если RedHat мне сама платить будет деньги за
работу своей службы техподдержки.

RedHat классная контора, которая финансирует множество гармотных
разработчиков, и активно помогает дижвению OpenSource развиваться. Но
дистрибутивы они делать не умеют, увы.

-- 
С уважением, Денис

http://freesource.info

Пользуйтесь, кому не страшно ;-)
-- vvzhy in devel@
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Michael Shigorin

On Sat, Sep 09, 2006 at 10:17:54PM +0500, Aleksey Korotkov wrote:
> MS> DD> "Неуловимый Джо"? ;)> +1
> MS> -1.
> Что не так? :)

Моё мнениё.

> Количество инсталляций Альта, я полагаю, есть о-малое
> количества инсталляций Дебиана.

Да.

> Так что если и имеет место факт (не знаю, не проверял :))
> большего количества взломов Дебиана, то он легко может
> объясняться сим банальным обстоятельством.

Я не склонен считать по взломам "$дистро" вообще.
Конкретно в этом случае привёл достаточно конкретный
критерий -- "системы проекта".

-- 
  WBR, Michael Shigorin <[EMAIL PROTECTED]>
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Michael Shigorin

On Sun, Sep 10, 2006 at 11:23:50PM +0400, Денис Смирнов wrote:
> DD> Также пакет должен быть собран в полночь на перекрёстке трёх дорог под
> DD> сухим деревом. Денис, это уже не первый круг.. Ещё раз:
> DD> Если мы говорим о _дистрибутиве_, всё, что вы только что сказали,
> DD> должно быть написано на самом видном месте большими буквами. Чтобы
> DD> никто случайно не пропустил. А пока этого нет, ни о каком сравнении с
> DD> Debian или Fedora вообще не может идти речь.
> Смотря для кого. Я в курсе отношения большинства мантейнеров к
> своим пакетам. Я в курсе насколько они параноики. Они в курсе
> моей квалификации, и знают на какие пакеты мне можно разрешать
> NMU, а на какие нет.

Плохо, что это цеховой результат выходит.  Бишь есть инсайдеры
с немеряным опытом угадывания направления ветра, и есть
непривелегированные остальные.  Плохо, когда разница не просто 
есть (так всегда), а когда она заметно больше средней по
больнице.

> А вообще мы спорим о разных вещах. Я говорю что ALT просто сделан лучше

Это как дома -- одно дело строить, другое -- ремонтировать по
ходу дела.  У кого-то лучше получается одно, у кого-то -- другое,
а третий вообще пошил себе палатку и пускает пузыри. :)

-- 
  WBR, Michael Shigorin <[EMAIL PROTECTED]>
  -- Linux.Kiev http://www.linux.kiev.ua/
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Aleksey Korotkov

On Sun, 10 Sep 2006 03:36:12 +0400
Денис Смирнов wrote:

> А федора -- да, предсказуемо глючная.

Но вот что интересно -- нужный мне софт работает. Случайно? :)

-- 
С уважением,
А.В.Коротков,

mailto:[EMAIL PROTECTED]
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-11 Пенетрантность Aleksey Korotkov

On Sat, 9 Sep 2006 23:58:02 +0400
Денис Смирнов wrote:

> Только с точки зрения человека, который не смотрел в чем разница.
> Послеразборок на тему "ну будет у нас дистрибутив с 3-х летней
> поддержкой, мля,когда-нибудь!?!" я тоже думал куда свалить. Не куда.
> Грабли другихдистрибутивов оказываются куда хуже, увы.

Поставить RHEL и пусть RH разгребает? :)

-- 
С уважением,
А.В.Коротков,

mailto:[EMAIL PROTECTED]
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-10 Пенетрантность Денис Смирнов

On Sun, Sep 10, 2006 at 09:03:48PM +0400, Dmitry Derjavin wrote:

DD> Также пакет должен быть собран в полночь на перекрёстке трёх дорог под
DD> сухим деревом. Денис, это уже не первый круг.. Ещё раз:
DD> Если мы говорим о _дистрибутиве_, всё, что вы только что сказали,
DD> должно быть написано на самом видном месте большими буквами. Чтобы
DD> никто случайно не пропустил. А пока этого нет, ни о каком сравнении с
DD> Debian или Fedora вообще не может идти речь.

Смотря для кого. Я в курсе отношения большинства мантейнеров к своим
пакетам. Я в курсе насколько они параноики. Они в курсе моей квалификации,
и знают на какие пакеты мне можно разрешать NMU, а на какие нет.

Посему мне плевать где что написано. На сайте Microsoft вообще в Get The
Facts написано что Linux это тормозное дорогое угребище. И даже результаты
тестов есть. Я им должен верить, или своему опыту?

>> Я также знаю единственный критичный для многих пакет, который
>> заведомо _не_ поддерживается полноценно -- php.
DD> А знают ли об этом те многие, для кого он критичен? Выкинуть его, и
DD> всё! Зачем людей подставлять-то?

Он, AFAIR, только в SUSE более-менее поддерживается.

DD> Денис, извините, дальше продолжать спор смысла не вижу. Мы с вами всё
DD> равно останемся каждый при своём мнении. Я просто ещё раз хотел
DD> обратить внимание на то, что дистрибутив в полном объёме до сих пор не
DD> поддерживается, и список поддерживаемых пакетов так и не опубликован.
DD> Почему эта простая вещь до сих пор не сделана, для меня загадка. Но
DD> пока она не сделана, рекомендовать кому-то _дистрибутив_ ALTLinux,
DD> по-моему, безответственно. Это, кстати, просто личное мнение.

Вместе с рекомендацией я еще могу и сказать где грабли лежат. В случае с
федорой этого вообще никто не знает.

У ALT очень большой порог вхождения, действительно. Но он себя окупает.

А вообще мы спорим о разных вещах. Я говорю что ALT просто сделан лучше,
что есть многие механизмы безопасности которых нет в продукции
красношляпых и Novell, а также в Debian, что мантейнеры "в среднем по
больнице" гораздо более доступны для быстрого исправления багов и даже
внесения улучшений, а также что ключевые пакеты находятся в очень хороших
руках.

В ответ слышу "ALT хуже, потому что слабо документирована политика".
Сраниваем теплое с мягким, однако.

Для меня работоспособность важнее документирвоанности. Если вам наоборот,
то нам не о чем спорить, ибо разные приоритеты заведомо дадут разные
решения.

--
С уважением, Денис

http://freesource.info

Ну, товарищи, я и такой и есть, гм.. академичный, с лёгким надутием щёк.
-- kirill in docs@
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-10 Пенетрантность Dmitry Derjavin

On Вск, Сен 10 2006 at 03:36, Денис Смирнов wrote:

> Я четко знаю, что если в поле packager у пакета стоит ldv@, то он
> поддерживается security team. Я также знаю, что если пакет
> серверный, и packager у него mike@ -- этого также достаточно для
> уверенности в поддержки.

Также пакет должен быть собран в полночь на перекрёстке трёх дорог под
сухим деревом. Денис, это уже не первый круг.. Ещё раз:

Если мы говорим о _дистрибутиве_, всё, что вы только что сказали,
должно быть написано на самом видном месте большими буквами. Чтобы
никто случайно не пропустил. А пока этого нет, ни о каком сравнении с
Debian или Fedora вообще не может идти речь.

> Я также знаю единственный критичный для многих пакет, который
> заведомо _не_ поддерживается полноценно -- php.

А знают ли об этом те многие, для кого он критичен? Выкинуть его, и
всё! Зачем людей подставлять-то?

Денис, извините, дальше продолжать спор смысла не вижу. Мы с вами всё
равно останемся каждый при своём мнении. Я просто ещё раз хотел
обратить внимание на то, что дистрибутив в полном объёме до сих пор не
поддерживается, и список поддерживаемых пакетов так и не опубликован.

Почему эта простая вещь до сих пор не сделана, для меня загадка. Но
пока она не сделана, рекомендовать кому-то _дистрибутив_ ALTLinux,
по-моему, безответственно. Это, кстати, просто личное мнение.

-- 
~dd

___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Sun, Sep 10, 2006 at 01:46:59AM +0400, Dmitry Derjavin wrote:

>> И вот с этой точки зрения Debian вообще не пригоден как
>> дистрибутив. Судя по тому что я читал -- Ubuntu по крайней мере
>> начали об этом задумываться.  А в ALT это "just works".
DD> Денис, давайте не бросаться словами. Вам ведь могут и поверить.
DD> Алексей чуть выше по треду предложил хороший эксперимент. Не нравится
DD> такой способ проверки устойчивости дистрибутива к взлому -- предложите
DD> свой. А не проверили, так нечего трепаться.

Для того чтобы сказать "вон в той двери замок, а в той его вообще нет" не
обязательно вызывать медевежатников и просить сломать. Достаточно просто
посмотреть, и увидеть что замка нет.

Так вот, есть целый комплекс средств обеспечения безопасности, которых в
Debian вообще нет. А в ALT есть из коробки.

А способов проверки на устойчивость ко взлому в настоящий момент попросту
нет. Вообще. Вернее есть, но они выявляют только лень сисадмина, который
не обновил софт. Увы, средств автоматического выявления _неизвестных_
уязвимостей нетути. А именно они представляют наибольшую угрозу, и именно
против них создано масса средств противодействия.

>> Потому я с куда более спокойным сердцем буду поднимать сервер на
>> произвольном снапшоте Сизифе, чем на Debian, или (простите за
>> нехорошее слово) Fedora.
DD> Хвастаться тут особо нечем.. У Debian и даже Fedora есть очень мощное,
DD> на мой взгляд, преимущество -- они предсказуемы. На них можно
DD> рассчитывать. Конечно, они не так прозрачны, как Owl или OpenBSD, но
DD> для них можно с достаточной степенью уверенности прогнозировать
DD> дальнейшее развитие событий. С ними можно (хоть) что-то планировать.
DD> Меня, как админа, пугает ситуация, когда неожиданно может выясниться,
DD> что входящий в дистрибутив пакет молча не поддерживается security
DD> team, так как по их мнению он крив и поддержки недостоин. А кто его
DD> включил в дистрибутив, тот пусть сам и поддерживает. И если вас, как
DD> админа, такая ситуация не пугает, то вы, извините, пугаете меня, как
DD> админ.

Все проще. Я четко знаю, что если в поле packager у пакета стоит ldv@, то
он поддерживается security team. Я также знаю, что если пакет серверный, и
packager у него mike@ -- этого также достаточно для уверенности в
поддержки. Собственно на моих серверах почему-то оказывается что ключевые
пакеты поддерживаются ldv@, mike@, lakostis@ и mithraen@ (я про Asterisk).

Я также знаю единственный критичный для многих пакет, который заведомо
_не_ поддерживается полноценно -- php.

Особенно с учетом того что я знаю что basesystem у нас практически
идентична с Owl, о чем можно дальше говорить?

А федора -- да, предсказуемо глючная. Потому как существует с одной
единственной целью -- бетатестирование дистрибутив на кошках, дабы
выпускать RHEL.

А Debian не устраивает ещё и чрезмерно большим циклом разработки, делающим
использование stable нереальным на десктопах. А как серверный непригоден я
уже объяснял почему.

-- 
С уважением, Денис

http://freesource.info

 The official Gentoo motto is, "If it moves, compile it."
 drF_ckoff: а если не moves, растолкай и compile

___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Dmitry Derjavin

On Сбт, Сен 09 2006 at 19:54, Денис Смирнов wrote:

> И вот с этой точки зрения Debian вообще не пригоден как
> дистрибутив. Судя по тому что я читал -- Ubuntu по крайней мере
> начали об этом задумываться.  А в ALT это "just works".

Денис, давайте не бросаться словами. Вам ведь могут и поверить.
Алексей чуть выше по треду предложил хороший эксперимент. Не нравится
такой способ проверки устойчивости дистрибутива к взлому -- предложите
свой. А не проверили, так нечего трепаться.

> Потому я с куда более спокойным сердцем буду поднимать сервер на
> произвольном снапшоте Сизифе, чем на Debian, или (простите за
> нехорошее слово) Fedora.

Хвастаться тут особо нечем.. У Debian и даже Fedora есть очень мощное,
на мой взгляд, преимущество -- они предсказуемы. На них можно
рассчитывать. Конечно, они не так прозрачны, как Owl или OpenBSD, но
для них можно с достаточной степенью уверенности прогнозировать
дальнейшее развитие событий. С ними можно (хоть) что-то планировать.

Меня, как админа, пугает ситуация, когда неожиданно может выясниться,
что входящий в дистрибутив пакет молча не поддерживается security
team, так как по их мнению он крив и поддержки недостоин. А кто его
включил в дистрибутив, тот пусть сам и поддерживает. И если вас, как
админа, такая ситуация не пугает, то вы, извините, пугаете меня, как
админ.

-- 
~dd

___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Aleksey Korotkov

On Sat, Sep 09, 2006 at 10:17:54PM +0500, Aleksey Korotkov wrote:

AK> Количество инсталляций Альта, я полагаю, есть о-малое количества
AK> инсталляций Дебиана. Так что если и имеет место факт (не знаю, не
AK> проверял :)) большего количества взломов Дебиана, то он легко может
AK> объясняться сим банальным обстоятельством.

Только с точки зрения человека, который не смотрел в чем разница. После
разборок на тему "ну будет у нас дистрибутив с 3-х летней поддержкой, мля,
когда-нибудь!?!" я тоже думал куда свалить. Не куда. Грабли других
дистрибутивов оказываются куда хуже, увы.

-- 
С уважением, Денис

http://freesource.info

Как обычно новое еще допиливать придется.
-- zerg in devel@
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Sat, 9 Sep 2006 16:05:32 +0300
Michael Shigorin wrote:

MS> DD> "Неуловимый Джо"? ;)> +1
MS> -1.

Что не так? :)

Количество инсталляций Альта, я полагаю, есть о-малое количества
инсталляций Дебиана. Так что если и имеет место факт (не знаю, не
проверял :)) большего количества взломов Дебиана, то он легко может
объясняться сим банальным обстоятельством.

-- 
С уважением,
А.В.Коротков,

mailto:[EMAIL PROTECTED]
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

2006-09-09 Пенетрантность Dmitry Derjavin

On Сбт, Сен 09 2006 at 13:40, Aleksey Novodvorsky wrote:

>> А пример с серверами на выставках не показателен, т. к. там были не
>> столько сервера под ALTLinux, сколько сервера под управлением [EMAIL 
>> PROTECTED]
>
> Это не так. Там было все "из коробки" + security updates.

http://article.gmane.org/gmane.linux.altlinux.community/6209
http://article.gmane.org/gmane.linux.altlinux.community/6260

> Впрочем, почти все претензии справедливы, я хочу просто этим
> отметить, что тот же ldv@ не выпустит за порог Master, который не
> поставит себе.

http://article.gmane.org/gmane.linux.altlinux.community/16575

-- 
~dd

___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности

On Sat, Sep 09, 2006 at 04:03:27PM +0300, Michael Shigorin wrote:

MS> Короче говоря, с дистром, в котором basesystem делает Дима,
MS> а ядро -- vsu@, мне лично спокойнее, чем с дебианом -- уже
MS> из-за того, что там ядро принято пересобирать.

Ну, здесь тоже мне ядро бывало приходилось пересобирать (ошметки этого до
сих пор в kernel cvs валяются). Только базировались они на "ядро от vsu@
плюс пара мелких изменений".

>>> более интересным то, что мне неизвестен факт имения машин
>>> altlinux.org,
>> "Неуловимый Джо"? ;)
MS> Не знаю, но не уверен.

Если я правильно помню, то там причины были в элементарной халатности
администраторов Debian. По крайней мере один из этих взломов, помнится,
был сделан через полгода как пофикшеную дырку. А у нас, если я правильно
понял, все это счастье поддерживает [EMAIL PROTECTED]

Так что критерием скорее уж не взлом wiki.sisyphus.ru/freesource.info,
админ которых (то бишь я) все таки редкостный раздолбай.

-- 
С уважением, Денис

http://freesource.info

Лучше не постить в рассылку после принятия пива.
-- ldv in sisyphus@
___
smoke-room mailing list
smoke-room@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] безопасности