Re: [room] безопасности
Eugene Prokopiev пишет: > Nick S. Grechukh пишет: > >>а и мне плиз >> >>On 9/16/06, Evgenii Terechkov <[EMAIL PROTECTED]> wrote: >> >> >>>Денис Смирнов пишет: >>> >>> >>> MS> $ ls -hogl mail/flame/fedora MS> -rw--- 1 90K Jun 17 16:58 mail/flame/fedora MS> Прислать? :) Да! >>> >>>+1.В смысле мне тоже "Да!". > > > Может положить куда? А то всем хочется ;) +1 -- С уважением. Алексей. signature.asc Description: OpenPGP digital signature ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
на ЛОР ;) о! точно. надо сделать скриптик, через curl постить каждое письмо отдельно :) самое сложное - сохранить древовидность. On 9/18/06, Eugene Prokopiev <[EMAIL PROTECTED]> wrote: > Nick S. Grechukh пишет: > > а и мне плиз > > > > On 9/16/06, Evgenii Terechkov <[EMAIL PROTECTED]> wrote: > > > >>Денис Смирнов пишет: > >> > >> > >>>MS> $ ls -hogl mail/flame/fedora > >>>MS> -rw--- 1 90K Jun 17 16:58 mail/flame/fedora > >>>MS> Прислать? :) > >>>Да! > >> > >>+1.В смысле мне тоже "Да!". > > Может положить куда? А то всем хочется ;) > > -- > С уважением, Прокопьев Евгений > ___ > smoke-room mailing list > smoke-room@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/smoke-room ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Nick S. Grechukh пишет: > а и мне плиз > > On 9/16/06, Evgenii Terechkov <[EMAIL PROTECTED]> wrote: > >>Денис Смирнов пишет: >> >> >>>MS> $ ls -hogl mail/flame/fedora >>>MS> -rw--- 1 90K Jun 17 16:58 mail/flame/fedora >>>MS> Прислать? :) >>>Да! >> >>+1.В смысле мне тоже "Да!". Может положить куда? А то всем хочется ;) -- С уважением, Прокопьев Евгений ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sun, Sep 17, 2006 at 01:31:50AM +0300, Michael Shigorin wrote: >> 3. apache стартовать сразу же не от рута, пущай висит себе на >> 127.0.0.1:8080 каком. MS> Вот о (3) я тоже подумывал. control(8)able, типа. Гм. Это будет любопытно очень. Только вот что делать если пользователь уже ручками что сконфигурил? Блокировать возможность это control'ировать? Слушай, а ты не знаешь что там за глюка с php, что соответствующий конфиг в addon-modules не создается? >> Сейчас критическая точка сам nginx -- ошибка в нем означает >> компрометацию всей системы. Нехорошо, однако. MS> Гм, а у меня для того есть iptables/DNAT. У меня нет общей группы, которой бы принадлежали все виртуалхосты :( -- С уважением, Денис http://freesource.info Она сопротивлялась, но я её всё-таки закрою. -- avm in #7518 ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 16, 2006 at 01:50:31PM +0400, Денис Смирнов wrote: > Я вот думаю, а не сделать ли мне вид что параноик уже клинический? > 1. прикрутить возможность к nginx запускать две копии -- одна в чруте > (фронтенд), другая нет (чтобы иметь доступ к static www). > 2. вторую копию таки тоже чрутить, но уже в корень static www. > 3. apache стартовать сразу же не от рута, пущай висит себе на > 127.0.0.1:8080 каком. Вот о (3) я тоже подумывал. control(8)able, типа. > Сейчас критическая точка сам nginx -- ошибка в нем означает > компрометацию всей системы. Нехорошо, однако. Гм, а у меня для того есть iptables/DNAT. -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
а и мне плиз On 9/16/06, Evgenii Terechkov <[EMAIL PROTECTED]> wrote: > Денис Смирнов пишет: > > > MS> $ ls -hogl mail/flame/fedora > > MS> -rw--- 1 90K Jun 17 16:58 mail/flame/fedora > > MS> Прислать? :) > > Да! > > +1.В смысле мне тоже "Да!". > > -- > С уважением, > системный администратор > ООО "Крастел" > Терешков Евгений. > ___ > smoke-room mailing list > smoke-room@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/smoke-room ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Денис Смирнов пишет: > MS> $ ls -hogl mail/flame/fedora > MS> -rw--- 1 90K Jun 17 16:58 mail/flame/fedora > MS> Прислать? :) > Да! +1.В смысле мне тоже "Да!". -- С уважением, системный администратор ООО "Крастел" Терешков Евгений. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 16, 2006 at 12:22:54PM +0300, Michael Shigorin wrote: MS> Можно при помощи e.g. mod_chroot засунуть тогда, когда сам apache MS> по крайней мере уже взлетел и слинковался со всем, что нужно MS> (включая то, что нужно модулям). MS> А это си. Правда, уже пару-тройку раз сделано. Я вот думаю, а не сделать ли мне вид что параноик уже клинический? 1. прикрутить возможность к nginx запускать две копии -- одна в чруте (фронтенд), другая нет (чтобы иметь доступ к static www). 2. вторую копию таки тоже чрутить, но уже в корень static www. 3. apache стартовать сразу же не от рута, пущай висит себе на 127.0.0.1:8080 каком. Сейчас критическая точка сам nginx -- ошибка в нем означает компрометацию всей системы. Нехорошо, однако. -- С уважением, Денис http://freesource.info inger, zerg: как вы такое отлаживаете-то? поделитесь секретами :) -- mike in #6964 ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 16, 2006 at 12:17:52PM +0300, Michael Shigorin wrote: MS> $ ls -hogl mail/flame/fedora MS> -rw--- 1 90K Jun 17 16:58 mail/flame/fedora MS> Прислать? :) Да! -- С уважением, Денис http://freesource.info И кому приходят в голову мысли запускать скриптовых демонов? -- ldv in devel@ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Tue, Sep 12, 2006 at 04:31:19PM +0800, Evgenii Terechkov wrote: > >> руководство по добавлению поддержки chroot() подскажет? > > Это смотря какой chroot. > > early chroot делается без патченья программы. > > late chroot уже должна уметь делать сама софтина > А поподробнее где об этом читать? Определения, как делается, > различия, методика и т.п. Я скорее первое имел ввиду сначала, а > патченье кода видимо уже второе. Рассмотрим апач. Можно его при помощи chroot(1) засунуть весь, но это обычно практически бессмысленно (если уж, то разумней в jail или контейнер), поскольку чрут не будет "бедным" в силу обычной специфики работы веб-сервера и приложений на нём. Но это шелл. Можно при помощи e.g. mod_chroot засунуть тогда, когда сам apache по крайней мере уже взлетел и слинковался со всем, что нужно (включая то, что нужно модулям). А это си. Правда, уже пару-тройку раз сделано. -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Tue, Sep 12, 2006 at 04:16:04PM +0800, Evgenii Terechkov wrote: > > ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль > > один > > ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). > > Хотя > > ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к > > ET> программе) средство чрутизаций? > > vim :) > Блин, программер на C из меня как балерина. А может кто какое > толковое руководство по добавлению поддержки chroot() > подскажет? Иногда достаточно chroot(1)/chrootuid(1). Впрочем, с этим лучше перебираться в [EMAIL PROTECTED] -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Tue, Sep 12, 2006 at 01:56:41PM +0800, Evgenii Terechkov wrote: > > RedHat классная контора, которая финансирует множество > > гармотных разработчиков, и активно помогает дижвению > > OpenSource развиваться. Но дистрибутивы они делать не умеют, > > увы. > Денис, а можно эту информация как-то дополнить? Что именно так > уж не понравилось? Нужный тут разумные доводы для (и про Федору > тоже подыскиваю). $ ls -hogl mail/flame/fedora -rw--- 1 90K Jun 17 16:58 mail/flame/fedora Прислать? :) -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Денис Смирнов пишет: > Ой не знаю. Обычно тут, увы, придется сначала программировать на C. Хотя > если программа простая, то достаточно просто сразу после старта сделать > chdir("chroot path"); > chrot("chroot path"); Угу. Ещё с правами надо разобраться. Как-то нужно правильно от пользователя запускать (оно может, просто мне не приходилось ещё). > ET> На предмет этого у хочу глянуть chrooted. У меня есть пакет с чрученым > ET> серсисом, но там ничего то копировать и не нужно, это ведь скорее > ET> исключение. > В общем да. Хотя сильно зависит от того, в какой момент что приложение > делает после запуска. И в какой момент чрутится. "Нужко копать"(с). >>> Собственно отсутствие целого пласта средств увеличения надежности, которые >>> мы используем это отсутствие фичи, или просто хреновая работа их QA? > ET> Скорее уж второе, причём лучше приянятую как официальная позиция, длящяеся > ET> уже какое-то время. > Вот и я о том же. И я :-). На конкретные "гвозди" (по сравнению с нашей "соломкой") пока не натыкался. -- Терешков Евгений, ALT Linux team. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Wed, Sep 13, 2006 at 09:31:46AM +0800, Evgenii Terechkov wrote: ET> А вообще кто что скажет об использований для этой цели (внешняя по ET> отношению к сервису/программе/пакету чрутизация) такой вещи как hsh-run? ET> Запускает же ldv@ лисичку в хэшере, чем мой пакет, который и требует почти ET> одну basesystem, хуже? Какие есть преимущества/недостатки/фундаментальные ET> проблемы? Просто я пока только пакеты чуть собирал в хэшере, на hsh-run не ET> глядел. hsh-run все-таки больше не для сервисов, а для приложений. И для запуска сервиса я бы все-таки предпочел его пропатчить на чрут, и, если не умеет, научить запускаться от пользователя. -- С уважением, Денис http://freesource.info * Nikon откопал архив с советскими мультиками Nikon: госфильмофонд хакнул? ;-) ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Tue, Sep 12, 2006 at 04:16:04PM +0800, Evgenii Terechkov wrote: >> vim :) ET> Блин, программер на C из меня как балерина. А может кто какое толковое ET> руководство по добавлению поддержки chroot() подскажет? Ой не знаю. Обычно тут, увы, придется сначала программировать на C. Хотя если программа простая, то достаточно просто сразу после старта сделать chdir("chroot path"); chrot("chroot path"); Ну и посмотреть пакет chrooted, чтобы правильно сформировать содержимое чрута. >> chrooted это чтобы копировать части системы, требуемые для приложения в >> чрут. Например библиотеки, от которых зависит приложение и конфиги вроде >> hosts. ET> На предмет этого у хочу глянуть chrooted. У меня есть пакет с чрученым ET> серсисом, но там ничего то копировать и не нужно, это ведь скорее ET> исключение. В общем да. Хотя сильно зависит от того, в какой момент что приложение делает после запуска. И в какой момент чрутится. > ET>> Это-то я знаю, а есть ли примеры не "как у нас лучше сделано, а у них > ET>> такого нет/не сделано", а "у них это сделано плохо/криво"? >> Хороший вопрос... Не знаю. Как трактовать отсутствие некоторых из патчей, >> которые ldv@ успешно прикладывает, а в FC их нет -- отсутствием фичи или >> просто кривой сборкой? ET> Отсутствие фичи, ИМХО. Интереснее второе. Если это патчи безопасности, а не добавление функционала -- то это багфикс. А в FC его отсутствие. >> Собственно отсутствие целого пласта средств увеличения надежности, которые >> мы используем это отсутствие фичи, или просто хреновая работа их QA? ET> Скорее уж второе, причём лучше приянятую как официальная позиция, длящяеся ET> уже какое-то время. Вот и я о том же. -- С уважением, Денис http://freesource.info Если отладка - уничтожение багов, то программирование - их создание. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
"Mikhail Pokidko" пишет: >> Блин, программер на C из меня как балерина. А может кто какое толковое >> руководство по добавлению поддержки chroot() подскажет? > Может подойдет такое - http://thomas.apestaart.org/projects/mach/ > Я к нему некоторое время назад приглядывался, и даже собрал, но руки > не дошли попробовать Интересная штука, посмотрел быстренько/мельком, собрал. Очень похоже (на первый взгляд) на велосипед, т.е. тьфу, конечно же на наш родимый хэшер. Только что написано на питоне (и преимущество и недостаток одновременно) и, вроде, не настолько alt-specific (тоже гуд). Как будет время посмотрю поближе/пощупаю. А вообще кто что скажет об использований для этой цели (внешняя по отношению к сервису/программе/пакету чрутизация) такой вещи как hsh-run? Запускает же ldv@ лисичку в хэшере, чем мой пакет, который и требует почти одну basesystem, хуже? Какие есть преимущества/недостатки/фундаментальные проблемы? Просто я пока только пакеты чуть собирал в хэшере, на hsh-run не глядел. -- С уважением, системный администратор ООО "Крастел", Терешков Евгений. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
12.09.06, Evgenii Terechkov<[EMAIL PROTECTED]> написал(а): > Денис Смирнов пишет: > > > ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль > > один > > ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). > > Хотя > > ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к > > ET> программе) средство чрутизаций? > > vim :) > > Блин, программер на C из меня как балерина. А может кто какое толковое > руководство по добавлению поддержки chroot() подскажет? Может подойдет такое - http://thomas.apestaart.org/projects/mach/ Я к нему некоторое время назад приглядывался, и даже собрал, но руки не дошли попробовать -- ___ Михаил Покидько системный администратор Группа компаний "Ангел" e-mail: [EMAIL PROTECTED] jid: [EMAIL PROTECTED] ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Maxim Tyurin пишет: > У гугля спросить. > Много доки выплюнет. > Для начала можно прочитать статью inger@ и ldv@ > она по Castle но по chroot там есть кусок. Спасибо конечно за уточнение хоть какое-то, а то гугль то конечно наше всё, но им иногда просто страшновато тользоваться (надеюсь, это преходящее). :-) -- С уважением, системный администратор ООО "Крастел", Терешков Евгений. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Evgenii Terechkov writes: > Maxim Tyurin пишет: > >>> руководство по добавлению поддержки chroot() подскажет? >> Это смотря какой chroot. >> early chroot делается без патченья программы. >> late chroot уже должна уметь делать сама софтина > > А поподробнее где об этом читать? Определения, как делается, различия, > методика и т.п. Я скорее первое имел ввиду сначала, а патченье кода видимо > уже второе. У гугля спросить. Много доки выплюнет. Для начала можно прочитать статью inger@ и ldv@ она по Castle но по chroot там есть кусок. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] ___ / _ )__ _ ___ ___ _ / _ / // / _ \/ _ `/ _ `/ __/ // (_-< //\_,_/_//_/\_, /\_,_/_/ \_,_/___/ /___/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Maxim Tyurin пишет: >> руководство по добавлению поддержки chroot() подскажет? > Это смотря какой chroot. > early chroot делается без патченья программы. > late chroot уже должна уметь делать сама софтина А поподробнее где об этом читать? Определения, как делается, различия, методика и т.п. Я скорее первое имел ввиду сначала, а патченье кода видимо уже второе. -- С уважением, системный администратор ООО "Крастел", Терешков Евгений. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Evgenii Terechkov writes: > Денис Смирнов пишет: > >> ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль >> один >> ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя >> ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к >> ET> программе) средство чрутизаций? >> vim :) > > Блин, программер на C из меня как балерина. А может кто какое толковое > руководство по добавлению поддержки chroot() подскажет? Это смотря какой chroot. early chroot делается без патченья программы. late chroot уже должна уметь делать сама софтина -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] ___ / _ )__ _ ___ ___ _ / _ / // / _ \/ _ `/ _ `/ __/ // (_-< //\_,_/_//_/\_, /\_,_/_/ \_,_/___/ /___/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Денис Смирнов пишет: > ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль > один > ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя > ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к > ET> программе) средство чрутизаций? > vim :) Блин, программер на C из меня как балерина. А может кто какое толковое руководство по добавлению поддержки chroot() подскажет? > chrooted это чтобы копировать части системы, требуемые для приложения в > чрут. Например библиотеки, от которых зависит приложение и конфиги вроде > hosts. На предмет этого у хочу глянуть chrooted. У меня есть пакет с чрученым серсисом, но там ничего то копировать и не нужно, это ведь скорее исключение. > ET> Это-то я знаю, а есть ли примеры не "как у нас лучше сделано, а у них > ET> такого нет/не сделано", а "у них это сделано плохо/криво"? > Хороший вопрос... Не знаю. Как трактовать отсутствие некоторых из патчей, > которые ldv@ успешно прикладывает, а в FC их нет -- отсутствием фичи или > просто кривой сборкой? Отсутствие фичи, ИМХО. Интереснее второе. > Собственно отсутствие целого пласта средств увеличения надежности, которые > мы используем это отсутствие фичи, или просто хреновая работа их QA? Скорее уж второе, причём лучше приянятую как официальная позиция, длящяеся уже какое-то время. -- С уважением, системный администратор ООО "Крастел", Терешков Евгений. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Tue, Sep 12, 2006 at 03:22:53PM +0800, Evgenii Terechkov wrote: >> Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш >> пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть >> глазками на патчи к glibc и openssh (я смотрел, волосы на голове >> шевелиться начали). ET> Кстати надо действительно на chrooted глянуть, а то тут возникла мысль один ET> из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя ET> он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к ET> программе) средство чрутизаций? vim :) chrooted это чтобы копировать части системы, требуемые для приложения в чрут. Например библиотеки, от которых зависит приложение и конфиги вроде hosts. >> Ещё пример -- у нас идет жестока борьба против статической линковки, в том >> числе с использованием автоматизированых средств выявления этой пакости >> (более известных как qa-robot Алексея Турбина). А в других дистрибутивах >> очень многое линкуется статически. ET> Это-то я знаю, а есть ли примеры не "как у нас лучше сделано, а у них ET> такого нет/не сделано", а "у них это сделано плохо/криво"? Хороший вопрос... Не знаю. Как трактовать отсутствие некоторых из патчей, которые ldv@ успешно прикладывает, а в FC их нет -- отсутствием фичи или просто кривой сборкой? Собственно отсутствие целого пласта средств увеличения надежности, которые мы используем это отсутствие фичи, или просто хреновая работа их QA? Опять же с проверкой на статическую сборку -- я считаю необоснованую статическую сборку blocker'ом, потому как в случае нахождения ошибки в библиотеке надо пересобирать только её, а не кучу софта (притом неясно какого именно). -- С уважением, Денис http://freesource.info Русские программисты всегда в настроении для программирования. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Evgenii Terechkov пишет: > Денис Смирнов пишет: > > >>Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш >>пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть >>глазками на патчи к glibc и openssh (я смотрел, волосы на голове >>шевелиться начали). > > > Кстати надо действительно на chrooted глянуть, а то тут возникла мысль один > из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя > он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к > программе) средство чрутизаций? совсем внешнее - это ovz/vserver/... сервисы, которые у нас сидят в чруте, насколько я понимаю, патченные. -- С уважением, Прокопьев Евгений ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Денис Смирнов пишет: > Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш > пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть > глазками на патчи к glibc и openssh (я смотрел, волосы на голове > шевелиться начали). Кстати надо действительно на chrooted глянуть, а то тут возникла мысль один из своих пакетов сделать чрутным (а сама программа совсем не умеет). Хотя он наверно про другое. Есть у нас какое нибудь внешнее (по отношению к программе) средство чрутизаций? > Кстати, в редхат сделали хотя бы чтобы su/sudo были по-умолчанию доступны > только члены группы wheel? Насколько могу знать - да (видел такое в FC4, а может и в сусе какой-то). > Ну или последний обсуждавшийся пример -- pam'изация многих сервисов, того > же cron. Которая дает возможность ограничивать ресурсы для запускаемого из > cron добра. > Тут долго говорить можно. Главное -- мантейнеры пакетов это те, кто ими > пользуются, а не те кто их собирает по своим должностным обязанностям. Со > всеми вытекающими отсюда последствиями в виде часто гораздо более > продуманных сборок. > Или ещё пример -- -Wl,--as-needed, который у нас теперь по-умолчанию. То > бишь реально приложения/библиотеки линкуются только с теми библиотеками > которые используются, а не которые были указаны при линковке. Это > позволяет избежать лишних зависимостей (проблема, из-за которой многие так > недолюбливают бинарные дистрибутивы), а также пакеты стараются пилить на > субпакеты с разными зависимостями. Например тот же мой Asterisk распилен > так, чтобы человек, которой не использует отдельные модули не был вынужден > ставить себе библиотеки, с которыми они собраны. > Ещё пример -- у нас идет жестока борьба против статической линковки, в том > числе с использованием автоматизированых средств выявления этой пакости > (более известных как qa-robot Алексея Турбина). А в других дистрибутивах > очень многое линкуется статически. Это-то я знаю, а есть ли примеры не "как у нас лучше сделано, а у них такого нет/не сделано", а "у них это сделано плохо/криво"? -- С уважением, системный администратор ООО "Крастел", Терешков Евгений. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Tue, Sep 12, 2006 at 01:56:41PM +0800, Evgenii Terechkov wrote: ET> Денис, а можно эту информация как-то дополнить? Что именно так уж не ET> понравилось? Нужный тут разумные доводы для (и про Федору тоже подыскиваю). ET> У меня есть одна машинка на полу-поддержке, но я там не настолько много ET> делая(ал), чтоб что-то сильно негативное заметить. Дык я-ж говорю -- достаточно посмотреть на такие волшебные вещи как наш пакет chrooted, а также на наш control и уже задуматься. Потом посмотреть глазками на патчи к glibc и openssh (я смотрел, волосы на голове шевелиться начали). Кстати, в редхат сделали хотя бы чтобы su/sudo были по-умолчанию доступны только члены группы wheel? Ну или последний обсуждавшийся пример -- pam'изация многих сервисов, того же cron. Которая дает возможность ограничивать ресурсы для запускаемого из cron добра. Тут долго говорить можно. Главное -- мантейнеры пакетов это те, кто ими пользуются, а не те кто их собирает по своим должностным обязанностям. Со всеми вытекающими отсюда последствиями в виде часто гораздо более продуманных сборок. Или ещё пример -- -Wl,--as-needed, который у нас теперь по-умолчанию. То бишь реально приложения/библиотеки линкуются только с теми библиотеками которые используются, а не которые были указаны при линковке. Это позволяет избежать лишних зависимостей (проблема, из-за которой многие так недолюбливают бинарные дистрибутивы), а также пакеты стараются пилить на субпакеты с разными зависимостями. Например тот же мой Asterisk распилен так, чтобы человек, которой не использует отдельные модули не был вынужден ставить себе библиотеки, с которыми они собраны. Ещё пример -- у нас идет жестока борьба против статической линковки, в том числе с использованием автоматизированых средств выявления этой пакости (более известных как qa-robot Алексея Турбина). А в других дистрибутивах очень многое линкуется статически. -- С уважением, Денис http://freesource.info Настоящий программист уже как минимум поменял три залитых пивом клавиатуры. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
Денис Смирнов пишет: > AK> Поставить RHEL и пусть RH разгребает? :) > Я тут CentOS посмотрел как-то (это который свободный клон RHEL). > Нафиг-нафиг. На серверах, от которых зависит тощина моего кошелька этой > мерзости не будет. Даже если RedHat мне сама платить будет деньги за > работу своей службы техподдержки. > RedHat классная контора, которая финансирует множество гармотных > разработчиков, и активно помогает дижвению OpenSource развиваться. Но > дистрибутивы они делать не умеют, увы. Денис, а можно эту информация как-то дополнить? Что именно так уж не понравилось? Нужный тут разумные доводы для (и про Федору тоже подыскиваю). У меня есть одна машинка на полу-поддержке, но я там не настолько много делая(ал), чтоб что-то сильно негативное заметить. -- С уважением, системный администратор ООО "Крастел", Терешков Евгений. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Mon, Sep 11, 2006 at 08:45:00PM +0300, Michael Shigorin wrote: MS> Плохо, что это цеховой результат выходит. Бишь есть инсайдеры MS> с немеряным опытом угадывания направления ветра, и есть MS> непривелегированные остальные. Плохо, когда разница не просто MS> есть (так всегда), а когда она заметно больше средней по MS> больнице. Увы, сейчас на сервере использовать ALT я могу рекомендовать только тем, кто в списке своих друзей или партнеров имеет мантейнеров. Причем со стажем не менее года. >> А вообще мы спорим о разных вещах. Я говорю что ALT просто сделан лучше MS> Это как дома -- одно дело строить, другое -- ремонтировать по MS> ходу дела. У кого-то лучше получается одно, у кого-то -- другое, MS> а третий вообще пошил себе палатку и пускает пузыри. :) :) Просто я крайне плохой админ. Но неплохой программер и не самый плохой мантейнер. Потому как моё раздолбайство приводит к тому, что в нормальном состоянии только системы клиентов -- на своем сервере мне может быть годами лениво софт обновить. При этом я, такой вот нехороший, хочу чтобы этот сервер несмотря на моё раздолбайство работал как часы. И ALT мне это позволяет. Потому как можно один раз настроить, и потом уже не париться. -- С уважением, Денис http://freesource.info > $ grep mkdir /usr/lib/rpm/macros Лучше rpm --showrc|grep, т.к. макросы еще и в /etc/rpm лежат. -- wrar in sisyphus@ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Mon, Sep 11, 2006 at 05:21:26PM +0500, Aleksey Korotkov wrote: >> Только с точки зрения человека, который не смотрел в чем разница. >> Послеразборок на тему "ну будет у нас дистрибутив с 3-х летней >> поддержкой, мля,когда-нибудь!?!" я тоже думал куда свалить. Не куда. >> Грабли другихдистрибутивов оказываются куда хуже, увы. AK> Поставить RHEL и пусть RH разгребает? :) Я тут CentOS посмотрел как-то (это который свободный клон RHEL). Нафиг-нафиг. На серверах, от которых зависит тощина моего кошелька этой мерзости не будет. Даже если RedHat мне сама платить будет деньги за работу своей службы техподдержки. RedHat классная контора, которая финансирует множество гармотных разработчиков, и активно помогает дижвению OpenSource развиваться. Но дистрибутивы они делать не умеют, увы. -- С уважением, Денис http://freesource.info Пользуйтесь, кому не страшно ;-) -- vvzhy in devel@ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 09, 2006 at 10:17:54PM +0500, Aleksey Korotkov wrote: > MS> DD> "Неуловимый Джо"? ;)> +1 > MS> -1. > Что не так? :) Моё мнениё. > Количество инсталляций Альта, я полагаю, есть о-малое > количества инсталляций Дебиана. Да. > Так что если и имеет место факт (не знаю, не проверял :)) > большего количества взломов Дебиана, то он легко может > объясняться сим банальным обстоятельством. Я не склонен считать по взломам "$дистро" вообще. Конкретно в этом случае привёл достаточно конкретный критерий -- "системы проекта". -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sun, Sep 10, 2006 at 11:23:50PM +0400, Денис Смирнов wrote: > DD> Также пакет должен быть собран в полночь на перекрёстке трёх дорог под > DD> сухим деревом. Денис, это уже не первый круг.. Ещё раз: > DD> Если мы говорим о _дистрибутиве_, всё, что вы только что сказали, > DD> должно быть написано на самом видном месте большими буквами. Чтобы > DD> никто случайно не пропустил. А пока этого нет, ни о каком сравнении с > DD> Debian или Fedora вообще не может идти речь. > Смотря для кого. Я в курсе отношения большинства мантейнеров к > своим пакетам. Я в курсе насколько они параноики. Они в курсе > моей квалификации, и знают на какие пакеты мне можно разрешать > NMU, а на какие нет. Плохо, что это цеховой результат выходит. Бишь есть инсайдеры с немеряным опытом угадывания направления ветра, и есть непривелегированные остальные. Плохо, когда разница не просто есть (так всегда), а когда она заметно больше средней по больнице. > А вообще мы спорим о разных вещах. Я говорю что ALT просто сделан лучше Это как дома -- одно дело строить, другое -- ремонтировать по ходу дела. У кого-то лучше получается одно, у кого-то -- другое, а третий вообще пошил себе палатку и пускает пузыри. :) -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sun, 10 Sep 2006 03:36:12 +0400 Денис Смирнов wrote: > А федора -- да, предсказуемо глючная. Но вот что интересно -- нужный мне софт работает. Случайно? :) -- С уважением, А.В.Коротков, mailto:[EMAIL PROTECTED] ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, 9 Sep 2006 23:58:02 +0400 Денис Смирнов wrote: > Только с точки зрения человека, который не смотрел в чем разница. > Послеразборок на тему "ну будет у нас дистрибутив с 3-х летней > поддержкой, мля,когда-нибудь!?!" я тоже думал куда свалить. Не куда. > Грабли другихдистрибутивов оказываются куда хуже, увы. Поставить RHEL и пусть RH разгребает? :) -- С уважением, А.В.Коротков, mailto:[EMAIL PROTECTED] ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sun, Sep 10, 2006 at 09:03:48PM +0400, Dmitry Derjavin wrote: DD> Также пакет должен быть собран в полночь на перекрёстке трёх дорог под DD> сухим деревом. Денис, это уже не первый круг.. Ещё раз: DD> Если мы говорим о _дистрибутиве_, всё, что вы только что сказали, DD> должно быть написано на самом видном месте большими буквами. Чтобы DD> никто случайно не пропустил. А пока этого нет, ни о каком сравнении с DD> Debian или Fedora вообще не может идти речь. Смотря для кого. Я в курсе отношения большинства мантейнеров к своим пакетам. Я в курсе насколько они параноики. Они в курсе моей квалификации, и знают на какие пакеты мне можно разрешать NMU, а на какие нет. Посему мне плевать где что написано. На сайте Microsoft вообще в Get The Facts написано что Linux это тормозное дорогое угребище. И даже результаты тестов есть. Я им должен верить, или своему опыту? >> Я также знаю единственный критичный для многих пакет, который >> заведомо _не_ поддерживается полноценно -- php. DD> А знают ли об этом те многие, для кого он критичен? Выкинуть его, и DD> всё! Зачем людей подставлять-то? Он, AFAIR, только в SUSE более-менее поддерживается. DD> Денис, извините, дальше продолжать спор смысла не вижу. Мы с вами всё DD> равно останемся каждый при своём мнении. Я просто ещё раз хотел DD> обратить внимание на то, что дистрибутив в полном объёме до сих пор не DD> поддерживается, и список поддерживаемых пакетов так и не опубликован. DD> Почему эта простая вещь до сих пор не сделана, для меня загадка. Но DD> пока она не сделана, рекомендовать кому-то _дистрибутив_ ALTLinux, DD> по-моему, безответственно. Это, кстати, просто личное мнение. Вместе с рекомендацией я еще могу и сказать где грабли лежат. В случае с федорой этого вообще никто не знает. У ALT очень большой порог вхождения, действительно. Но он себя окупает. А вообще мы спорим о разных вещах. Я говорю что ALT просто сделан лучше, что есть многие механизмы безопасности которых нет в продукции красношляпых и Novell, а также в Debian, что мантейнеры "в среднем по больнице" гораздо более доступны для быстрого исправления багов и даже внесения улучшений, а также что ключевые пакеты находятся в очень хороших руках. В ответ слышу "ALT хуже, потому что слабо документирована политика". Сраниваем теплое с мягким, однако. Для меня работоспособность важнее документирвоанности. Если вам наоборот, то нам не о чем спорить, ибо разные приоритеты заведомо дадут разные решения. -- С уважением, Денис http://freesource.info Ну, товарищи, я и такой и есть, гм.. академичный, с лёгким надутием щёк. -- kirill in docs@ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Вск, Сен 10 2006 at 03:36, Денис Смирнов wrote: > Я четко знаю, что если в поле packager у пакета стоит ldv@, то он > поддерживается security team. Я также знаю, что если пакет > серверный, и packager у него mike@ -- этого также достаточно для > уверенности в поддержки. Также пакет должен быть собран в полночь на перекрёстке трёх дорог под сухим деревом. Денис, это уже не первый круг.. Ещё раз: Если мы говорим о _дистрибутиве_, всё, что вы только что сказали, должно быть написано на самом видном месте большими буквами. Чтобы никто случайно не пропустил. А пока этого нет, ни о каком сравнении с Debian или Fedora вообще не может идти речь. > Я также знаю единственный критичный для многих пакет, который > заведомо _не_ поддерживается полноценно -- php. А знают ли об этом те многие, для кого он критичен? Выкинуть его, и всё! Зачем людей подставлять-то? Денис, извините, дальше продолжать спор смысла не вижу. Мы с вами всё равно останемся каждый при своём мнении. Я просто ещё раз хотел обратить внимание на то, что дистрибутив в полном объёме до сих пор не поддерживается, и список поддерживаемых пакетов так и не опубликован. Почему эта простая вещь до сих пор не сделана, для меня загадка. Но пока она не сделана, рекомендовать кому-то _дистрибутив_ ALTLinux, по-моему, безответственно. Это, кстати, просто личное мнение. -- ~dd ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sun, Sep 10, 2006 at 01:46:59AM +0400, Dmitry Derjavin wrote: >> И вот с этой точки зрения Debian вообще не пригоден как >> дистрибутив. Судя по тому что я читал -- Ubuntu по крайней мере >> начали об этом задумываться. А в ALT это "just works". DD> Денис, давайте не бросаться словами. Вам ведь могут и поверить. DD> Алексей чуть выше по треду предложил хороший эксперимент. Не нравится DD> такой способ проверки устойчивости дистрибутива к взлому -- предложите DD> свой. А не проверили, так нечего трепаться. Для того чтобы сказать "вон в той двери замок, а в той его вообще нет" не обязательно вызывать медевежатников и просить сломать. Достаточно просто посмотреть, и увидеть что замка нет. Так вот, есть целый комплекс средств обеспечения безопасности, которых в Debian вообще нет. А в ALT есть из коробки. А способов проверки на устойчивость ко взлому в настоящий момент попросту нет. Вообще. Вернее есть, но они выявляют только лень сисадмина, который не обновил софт. Увы, средств автоматического выявления _неизвестных_ уязвимостей нетути. А именно они представляют наибольшую угрозу, и именно против них создано масса средств противодействия. >> Потому я с куда более спокойным сердцем буду поднимать сервер на >> произвольном снапшоте Сизифе, чем на Debian, или (простите за >> нехорошее слово) Fedora. DD> Хвастаться тут особо нечем.. У Debian и даже Fedora есть очень мощное, DD> на мой взгляд, преимущество -- они предсказуемы. На них можно DD> рассчитывать. Конечно, они не так прозрачны, как Owl или OpenBSD, но DD> для них можно с достаточной степенью уверенности прогнозировать DD> дальнейшее развитие событий. С ними можно (хоть) что-то планировать. DD> Меня, как админа, пугает ситуация, когда неожиданно может выясниться, DD> что входящий в дистрибутив пакет молча не поддерживается security DD> team, так как по их мнению он крив и поддержки недостоин. А кто его DD> включил в дистрибутив, тот пусть сам и поддерживает. И если вас, как DD> админа, такая ситуация не пугает, то вы, извините, пугаете меня, как DD> админ. Все проще. Я четко знаю, что если в поле packager у пакета стоит ldv@, то он поддерживается security team. Я также знаю, что если пакет серверный, и packager у него mike@ -- этого также достаточно для уверенности в поддержки. Собственно на моих серверах почему-то оказывается что ключевые пакеты поддерживаются ldv@, mike@, lakostis@ и mithraen@ (я про Asterisk). Я также знаю единственный критичный для многих пакет, который заведомо _не_ поддерживается полноценно -- php. Особенно с учетом того что я знаю что basesystem у нас практически идентична с Owl, о чем можно дальше говорить? А федора -- да, предсказуемо глючная. Потому как существует с одной единственной целью -- бетатестирование дистрибутив на кошках, дабы выпускать RHEL. А Debian не устраивает ещё и чрезмерно большим циклом разработки, делающим использование stable нереальным на десктопах. А как серверный непригоден я уже объяснял почему. -- С уважением, Денис http://freesource.info The official Gentoo motto is, "If it moves, compile it." drF_ckoff: а если не moves, растолкай и compile ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Сбт, Сен 09 2006 at 19:54, Денис Смирнов wrote: > И вот с этой точки зрения Debian вообще не пригоден как > дистрибутив. Судя по тому что я читал -- Ubuntu по крайней мере > начали об этом задумываться. А в ALT это "just works". Денис, давайте не бросаться словами. Вам ведь могут и поверить. Алексей чуть выше по треду предложил хороший эксперимент. Не нравится такой способ проверки устойчивости дистрибутива к взлому -- предложите свой. А не проверили, так нечего трепаться. > Потому я с куда более спокойным сердцем буду поднимать сервер на > произвольном снапшоте Сизифе, чем на Debian, или (простите за > нехорошее слово) Fedora. Хвастаться тут особо нечем.. У Debian и даже Fedora есть очень мощное, на мой взгляд, преимущество -- они предсказуемы. На них можно рассчитывать. Конечно, они не так прозрачны, как Owl или OpenBSD, но для них можно с достаточной степенью уверенности прогнозировать дальнейшее развитие событий. С ними можно (хоть) что-то планировать. Меня, как админа, пугает ситуация, когда неожиданно может выясниться, что входящий в дистрибутив пакет молча не поддерживается security team, так как по их мнению он крив и поддержки недостоин. А кто его включил в дистрибутив, тот пусть сам и поддерживает. И если вас, как админа, такая ситуация не пугает, то вы, извините, пугаете меня, как админ. -- ~dd ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 09, 2006 at 10:17:54PM +0500, Aleksey Korotkov wrote: AK> Количество инсталляций Альта, я полагаю, есть о-малое количества AK> инсталляций Дебиана. Так что если и имеет место факт (не знаю, не AK> проверял :)) большего количества взломов Дебиана, то он легко может AK> объясняться сим банальным обстоятельством. Только с точки зрения человека, который не смотрел в чем разница. После разборок на тему "ну будет у нас дистрибутив с 3-х летней поддержкой, мля, когда-нибудь!?!" я тоже думал куда свалить. Не куда. Грабли других дистрибутивов оказываются куда хуже, увы. -- С уважением, Денис http://freesource.info Как обычно новое еще допиливать придется. -- zerg in devel@ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, 9 Sep 2006 16:05:32 +0300 Michael Shigorin wrote: MS> DD> "Неуловимый Джо"? ;)> +1 MS> -1. Что не так? :) Количество инсталляций Альта, я полагаю, есть о-малое количества инсталляций Дебиана. Так что если и имеет место факт (не знаю, не проверял :)) большего количества взломов Дебиана, то он легко может объясняться сим банальным обстоятельством. -- С уважением, А.В.Коротков, mailto:[EMAIL PROTECTED] ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Сбт, Сен 09 2006 at 13:40, Aleksey Novodvorsky wrote: >> А пример с серверами на выставках не показателен, т. к. там были не >> столько сервера под ALTLinux, сколько сервера под управлением [EMAIL >> PROTECTED] > > Это не так. Там было все "из коробки" + security updates. http://article.gmane.org/gmane.linux.altlinux.community/6209 http://article.gmane.org/gmane.linux.altlinux.community/6260 > Впрочем, почти все претензии справедливы, я хочу просто этим > отметить, что тот же ldv@ не выпустит за порог Master, который не > поставит себе. http://article.gmane.org/gmane.linux.altlinux.community/16575 -- ~dd ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 09, 2006 at 04:03:27PM +0300, Michael Shigorin wrote: MS> Короче говоря, с дистром, в котором basesystem делает Дима, MS> а ядро -- vsu@, мне лично спокойнее, чем с дебианом -- уже MS> из-за того, что там ядро принято пересобирать. Ну, здесь тоже мне ядро бывало приходилось пересобирать (ошметки этого до сих пор в kernel cvs валяются). Только базировались они на "ядро от vsu@ плюс пара мелких изменений". >>> более интересным то, что мне неизвестен факт имения машин >>> altlinux.org, >> "Неуловимый Джо"? ;) MS> Не знаю, но не уверен. Если я правильно помню, то там причины были в элементарной халатности администраторов Debian. По крайней мере один из этих взломов, помнится, был сделан через полгода как пофикшеную дырку. А у нас, если я правильно понял, все это счастье поддерживает [EMAIL PROTECTED] Так что критерием скорее уж не взлом wiki.sisyphus.ru/freesource.info, админ которых (то бишь я) все таки редкостный раздолбай. -- С уважением, Денис http://freesource.info Лучше не постить в рассылку после принятия пива. -- ldv in sisyphus@ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 09, 2006 at 12:15:08PM +0400, Dmitry Derjavin wrote: DD> Тут, по-моему, о другом: важно не только качество "ключевых DD> компонент", но и оперативность обновлений. Алексей предложил хороший DD> эксперимент для проверки устойчивости дистрибутива к взлому. А пример DD> с серверами на выставках не показателен, т. к. там были не столько DD> сервера под ALTLinux, сколько сервера под управлением [EMAIL PROTECTED] Это же DD> совершенно разные вещи! Есть такая интересная штука, по поводу оперативности обновлений. Называется рынок 0-day эксплойтов. А ещё кто-то может найти дырку раньше, чем её найдет тот, кто удосужится проинформировать авторов. Самый радужный для пользователя вариант: 1. некто нашел багу; 2. проинформирвал авторов; 3. авторы почесали репу и сделали патч (или даже тот самый некто его прислал, и им его надо было только приложить); 4. формируется выпуск новой версии; 5. рассылается уведомление в соответствующих списках рассылки; 6. выходит обновления для дистрибутива 7. обновляемся и успокаиваемся Так вот, между 1-м и 7-м пунктом проходит куда больше времени, чем между просто 5-м и 6-м. Поэтому может быть важно ещё и то, что некоторые мантейнеры могут получать такую информацию уже после 1-го пункта. И это добавляет оперативности. А ещё есть такая проблема -- система должна быть более-менее безопасна даже пока не вышло обновление. И для этого используются многие трюки (вроде privilege separation в openssh). Или -fpie, который ldv@ грозится по-умолчанию использовать при сборки всех пакетов. В ту же степь chrooted сервисы, запуск чего только можно не из пор рута, и т.д. Софта без багов не существует. Существуют только меры, позволяющие уменьшить опасность этих багов. И вот с этой точки зрения Debian вообще не пригоден как дистрибутив. Судя по тому что я читал -- Ubuntu по крайней мере начали об этом задумываться. А в ALT это "just works". Потому я с куда более спокойным сердцем буду поднимать сервер на произвольном снапшоте Сизифе, чем на Debian, или (простите за нехорошее слово) Fedora. -- С уважением, Денис http://freesource.info a long time ago, in a package far, far away ... fixed -- viy in #2902 ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 09, 2006 at 09:57:58AM +0500, Aleksey Korotkov wrote: > DD> "Неуловимый Джо"? ;) > +1 -1. -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 09, 2006 at 11:24:26AM +0300, Nick S. Grechukh wrote: > вот и слоган готов - "только с ALT вы получаете сервер под > управлением ldv из коробки" %) 8-) Но это всё-таки маркетинг, причём неудачный -- мало кто из тех, кто ведётся на маркетинг, знает Диму, а те, кто знает -- скорее не ведутся (тем паче что тогда это неправда -- управление и сборка суть разные вещи). > > > Тут, по-моему, о другом: важно не только качество "ключевых > > компонент", но и оперативность обновлений. Да, конечно. -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 09, 2006 at 02:23:40AM +0400, Dmitry Derjavin wrote: > >> По-моему, сравнивать можно только так: ставим рядом два > >> сервера -- один с Альтом, другой с Дебианом, накатываем все > >> имеющиеся для данного дистрибутива секурные патчи (если > >> таковые есть), настраиваем и нанимаем команду взломщиков. > >> После чего анализируем: что взломано, за какое время, > >> насколько хреновые последствия и т.д. и т.п. А так всё > >> абстракции. > > Специально выставляли альт (на выставках в инет). Правда, > > готовил его Дима, но давали сразу шелл. > Михаил, если "готовил" его ldv@, и не предусматривал при этом > _специально_ возможности для взлома, Видимо. > то это превращает всю затею в фарс. Не совсем. Дырки-то там были. Просто некоторые из них были обнаружены позже и не теми, кто пытался. Там же не зря для успешно показавших рутшелл было предложение в ALT Security Team. ;-) > Можно давать не просто шелл, а сразу рутовый шелл -- всё равно > не взломают. ;) Смотря что подразумевать под взломом. Тут оно целью и было. Короче говоря, с дистром, в котором basesystem делает Дима, а ядро -- vsu@, мне лично спокойнее, чем с дебианом -- уже из-за того, что там ядро принято пересобирать. > > На фоне недавних имений машин debian.org может показаться > > более интересным то, что мне неизвестен факт имения машин > > altlinux.org, > "Неуловимый Джо"? ;) Не знаю, но не уверен. -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/ ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On 9/9/06, Dmitry Derjavin <[EMAIL PROTECTED]> wrote: > On Сбт, Сен 09 2006 at 03:45, Денис Смирнов wrote: > > > А теперь достаточно посмотреть кто мантейнер ключевых компонент > > дистрибутива, и сделать вывод :) > > Тут, по-моему, о другом: важно не только качество "ключевых > компонент", но и оперативность обновлений. Алексей предложил хороший > эксперимент для проверки устойчивости дистрибутива к взлому. А пример > с серверами на выставках не показателен, т. к. там были не столько > сервера под ALTLinux, сколько сервера под управлением [EMAIL PROTECTED] Это не так. Там было все "из коробки" + security updates. Впрочем, почти все претензии справедливы, я хочу просто этим отметить, что тот же ldv@ не выпустит за порог Master, который не поставит себе. Rgrds, Алексей Это же > совершенно разные вещи! > > -- > ~dd > > ___ > smoke-room mailing list > smoke-room@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/smoke-room ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
вот и слоган готов - "только с ALT вы получаете сервер под управлением ldv из коробки" %) On 9/9/06, Dmitry Derjavin <[EMAIL PROTECTED]> wrote: > On Сбт, Сен 09 2006 at 03:45, Денис Смирнов wrote: > > > А теперь достаточно посмотреть кто мантейнер ключевых компонент > > дистрибутива, и сделать вывод :) > > Тут, по-моему, о другом: важно не только качество "ключевых > компонент", но и оперативность обновлений. Алексей предложил хороший > эксперимент для проверки устойчивости дистрибутива к взлому. А пример > с серверами на выставках не показателен, т. к. там были не столько > сервера под ALTLinux, сколько сервера под управлением [EMAIL PROTECTED] Это же > совершенно разные вещи! > > -- > ~dd > > ___ > smoke-room mailing list > smoke-room@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/smoke-room ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Сбт, Сен 09 2006 at 03:45, Денис Смирнов wrote: > А теперь достаточно посмотреть кто мантейнер ключевых компонент > дистрибутива, и сделать вывод :) Тут, по-моему, о другом: важно не только качество "ключевых компонент", но и оперативность обновлений. Алексей предложил хороший эксперимент для проверки устойчивости дистрибутива к взлому. А пример с серверами на выставках не показателен, т. к. там были не столько сервера под ALTLinux, сколько сервера под управлением [EMAIL PROTECTED] Это же совершенно разные вещи! -- ~dd ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, 09 Sep 2006 02:23:40 +0400 Dmitry Derjavin wrote: DD> "Неуловимый Джо"? ;) +1 -- С уважением, А.В.Коротков, mailto:[EMAIL PROTECTED] ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Sat, Sep 09, 2006 at 02:23:40AM +0400, Dmitry Derjavin wrote: DD> Михаил, если "готовил" его ldv@, и не предусматривал при этом DD> _специально_ возможности для взлома, то это превращает всю затею в DD> фарс. Можно давать не просто шелл, а сразу рутовый шелл -- всё равно DD> не взломают. ;) А теперь достаточно посмотреть кто мантейнер ключевых компонент дистрибутива, и сделать вывод :) Аналогично со сборками ядра -- я ещё будучи даже слакваристом таскал ядра из ALT. -- С уважением, Денис http://freesource.info ПОСТУЛАТ ПАРКИНСА Чем ниже сидишь, тем больнее бьют. ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room
Re: [room] безопасности
On Сбт, Сен 09 2006 at 00:56, Michael Shigorin wrote: >> По-моему, сравнивать можно только так: ставим рядом два сервера -- >> один с Альтом, другой с Дебианом, накатываем все имеющиеся для >> данного дистрибутива секурные патчи (если таковые есть), >> настраиваем и нанимаем команду взломщиков. После чего анализируем: >> что взломано, за какое время, насколько хреновые последствия и >> т.д. и т.п. А так всё абстракции. > > Специально выставляли альт (на выставках в инет). > Правда, готовил его Дима, но давали сразу шелл. Михаил, если "готовил" его ldv@, и не предусматривал при этом _специально_ возможности для взлома, то это превращает всю затею в фарс. Можно давать не просто шелл, а сразу рутовый шелл -- всё равно не взломают. ;) > На фоне недавних имений машин debian.org может показаться более > интересным то, что мне неизвестен факт имения машин altlinux.org, "Неуловимый Джо"? ;) -- ~dd ___ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room