форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновлены патчи OpenWall и подготовлены установочные образы ..."		+/–
Сообщение от opennews (ok) on 03-Июн-09, 22:57
Александр Песляк (Solar Designer) представил (http://www.openwall.com/lists/announce/2009/06/03/1) адаптированную для Linux ядра 2.4.37.1 версию повышающих безопасность (http://www.openwall.com/linux/README.shtml) "-ow (http://www.openwall.com/linux/)" (OpenWall) патчей. Прошлая версия "-ow" патчей была выпущена (ftp://ftp.openwall.com/pub/patches/linux/v2.4/historical/) для ядра 2.4.35 в 2007 году. Кроме адаптации для новой версии ядра в патчах переработана возможность запрещения маппинга страниц нулевого размера (CONFIG_HARDEN_PAGE0), которая теперь основана на использовании системного вызова vm.mmap_min_addr. Из других возможностей "-ow" патчей можно отметить защиту от выполнения кода в стеке, ограничение доступа к системным вызовам, разрешающим работу CAP_SYS_RAWIO  процессов в VM86 режиме, защита от создания fifo-каналов и символических ссылок в /tmp, ограничение доступа к /proc, разрушение неиспользуемых сегментов разделяемой памяти и т.д. Дополнительно сообщается об обновлен... URL: http://www.openwall.com/lists/announce/2009/06/03/1 Новость: https://www.opennet.ru/opennews/art.shtml?num=22017
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновлены патчи OpenWall и подготовлены установочные образы ..."		+/–
Сообщение от User294 (ok) on 03-Июн-09, 22:57
Сразу видно секурити-маньяков.А зачем они пользуют 2.4?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Обновлены патчи OpenWall и подготовлены установочные образы ..."		+2 +/–
	Сообщение от тоже user on 03-Июн-09, 23:04
	Ну тык они еще не смогли проапгрейдиться до 2.6. Столько кода...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Обновлены патчи OpenWall и подготовлены установочные образы ..."		+/–
	Сообщение от szh (ok) on 04-Июн-09, 03:56
	по моему ты сам ответил на свой вопрос
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Обновлены патчи OpenWall и подготовлены установочные образы ..."		+/–
	Сообщение от anonymous (??) on 04-Июн-09, 10:31
	Ога, маньяки: > В комплект включен новый пакет cdrkit, предназначенный для записи CD/DVD дисков. Самое нужное для супер-безопасного сервера.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Обновлены патчи Openwall и подготовлены установочные образы ..."		+/–
	Сообщение от solardiz on 15-Июн-09, 21:30
	По поводу cdrkit, ситуация следующая: да, грязный код и, да, на сервере он обычно не нужен. Но одно из свойств Owl - это то, что система в состоянии сама себя пересобрать, включая создание ISO'шки. Для работы "make iso", нам нужен mkisofs или его аналог. Какое-то время в Owl-current для этого паковался именно отдельно-взятый mkisofs из cdrtools. Теперь мы пакуем cdrkit (клон cdrtools) целиком, с рядом исправлений, т.к. остальная функциональность вообщем-то тоже полезна (записать диск с новой версией Owl или с другой системой на машине с Owl). Дальнейшие перспективы туманны, т.к. и код оставляет желать лучшего и конфликт вокруг кода из cdrtools не радует. Жаль, что полноценных альтернатив нет (или по крайней мере мы о них не знаем).
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "Обновлены патчи Openwall и подготовлены установочные образы ..."		+/–
	Сообщение от Michael Shigorin (ok) on 04-Ноя-09, 23:15
	Тут пробегал какой-то wodim, но не вникал. PS: зеркало на ftp://ftp.linux.kiev.ua/pub/Linux/Owl/ всё так же работает. :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	18. "Обновлены патчи Openwall и подготовлены установочные образы ..."		+/–
	Сообщение от solardiz on 04-Ноя-09, 23:42
	>Тут пробегал какой-то wodim, но не вникал. wodim - одна из программ пакета cdrkit. Если еще точнее, то это переименованный и слегка измененный клон не очень свежей версии cdrecord из cdrtools. Собственно, wodim в Owl-current у нас и есть (вместе с другими программами из cdrkit), но мы этому не очень рады... хотелось бы лучше, а нету. Впрочем, он свою функцию выполняет, CD/DVD пишет. Кстати, мы отучили cdrkit (наш пакет) от зависимости от cmake для сборки: http://lists.freedesktop.org/archives/distributions/2009-May... Альтернатива - dvd+rw-tools - но там нет поддержки CD (только DVD), да и mkisofs всё равно брать откуда-то надо. >PS: зеркало на ftp://ftp.linux.kiev.ua/pub/Linux/Owl/ всё так же работает. :) Спасибо! Может, добавим его в список. Кстати, мы теперь создаем новые ISO'шки Owl-current примерно раз в месяц. На данный момент свежайшие - от 25-го октября. Прямые ссылки на скачивание теперь есть прямо с Owl homepage - http://www.openwall.com/Owl/
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Обновлены патчи Openwall и подготовлены установочные образы ..."		+2 +/–
	Сообщение от solardiz on 15-Июн-09, 21:24
	Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" - на данный момент, этим занимается Willy Tarreau - и делает это, на мой взгляд, хорошо (как раз так, как это надо для "пожилой" ветки - с одной стороны, очень консервативно, но с другой своевременно включая все действительно важные исправления, в первую очередь уязвимостей, а также отдельные "лёгкие" исправления и дополнения). В README к -ow патчам была и остается заявлена поддержка ветки 2.4 "до конца", так что для меня это вопрос ответственности перед теми, кто на эти патчи "завязался" (хотя вообщем-то сложности с них уйти нет). Что касается перевода дистрибутива Owl на ядра 2.6 "официально", это надо делать. Скорее всего, мы официально перейдем на ядра OpenVZ (на данный момент это будет ветка "rhel5", а позже вероятно "rhel6") с дополнительными патчами. Пока же официальным ядром на Owl является 2.4.37.1-ow1, хотя фактически многие Owl-системы (вероятно, большинство) работают с ядрами 2.6 (мы сами, когда поддерживаем подобные системы для клиентов, обычно ставим OpenVZ-ядра из ветки "rhel5"). Owl - это главным образом userland - но для начальной установки нужно какое-то ядро, за которое мы "отвечаем". А "пользователь" (админ) уже возьмет то ядро, которое ему нужно и за которое он будет отвечать сам. Это далеко не идеальный подход, но это нынешнее состояние вещей. P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения некоторых функций -ow патчей.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "Обновлены патчи Openwall и подготовлены установочные образы ..."		+2 +/–
	Сообщение от User294 (??) on 17-Июн-09, 14:28
	>Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" - Для меня это не странно.Я этот antique вижу каждый день.На роутерах и прочая.Единственный плюс который я от него заметил - сетевые дела на мелких железках с дохлым процом на 2.4 как-то порезвее чем на 2.6.Но все-таки 2.4 часто икается... (отдельные маньяки бэкпортят в него вкусности типа epoll и прочая, но это уж совсем изврат и большая часть народа просто валит на 2.6, даже в embedded :P) >"пожилой" ветки - с одной стороны, очень консервативно, но с другой >своевременно включая все действительно важные исправления, в первую очередь уязвимостей, Да, в ряде случаев гут - всяким там производителям мелких роутеров и т.п..А вот на более мощных и разлапистых системах... лично я не вижу для себя смысла в 2.4 вообще. >для меня это вопрос ответственности перед теми, кто на эти патчи >"завязался" (хотя вообщем-то сложности с них уйти нет). Ответственность - это хорошо.Респекты за подход. >подобные системы для клиентов, обычно ставим OpenVZ-ядра из ветки "rhel5"). Ну так это ж как-то неправильно.Чем меньше "напильник" потребен тем активнее систему будут использовать.А система где секурити уделено внимание определенно достойна такой участи, а? > Owl - это главным образом userland Система без ядра - как авто без движка.Вроде как настоящее, но не ездит. >Это далеко не идеальный подход, но это нынешнее состояние вещей. Это достаточно геморройный для админа подход - админ де факто становится наполовину майнтайнером.Хоть в принципе это и не админское дело как правило.Нет, возможно это кому-то нравится, я это могу понять.Но не факт что всем. >P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения >некоторых функций -ow патчей. А что мешает их исправить?На опеннете новости может редактировать кто угодно (изменения апрувятся модераторами).И врядли кто-то поправит новость лучше вас...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "Обновлены патчи Openwall и подготовлены установочные образы ..."		+/–
	Сообщение от solardiz on 17-Июн-09, 21:28
	В целом, я со всем, сказанным User294 согласен. Небольшие комментарии: > Система без ядра - как авто без движка. Вроде как настоящее, но не ездит. Не всегда так. Например, при использовании OpenVZ, большинство userland'ов своего ядра не имеют - ядро одно на физический сервер. >>P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения >>некоторых функций -ow патчей. > >А что мешает их исправить?На опеннете новости может редактировать кто угодно (изменения >апрувятся модераторами).И врядли кто-то поправит новость лучше вас... Я только что исправил явные ошибки, сохранив основной текст новости. Мои изменения ждут публикации.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "Обновлены патчи Openwall и подготовлены установочные образы ..."		+/–
	Сообщение от solardiz on 22-Июн-09, 17:32
	Прошло 5 дней, мои исправления текста новости так и не опубликованы... В следующий раз не буду тратить время.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "Обновлены патчи Openwall и подготовлены установочные образы ..."		+/–
	Сообщение от Maxim Chirkov (ok) on 22-Июн-09, 20:51
	>Прошло 5 дней, мои исправления текста новости так и не опубликованы... В >следующий раз не буду тратить время. Прошу прощения, правка мимо глаз пролетела. Нашел в архивах и подтвердил изменения.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Обновлены патчи OpenWall и подготовлены установочные образы ..."		+/–
Сообщение от daevy on 04-Июн-09, 06:03
кто юзал? это как-то отличается от hardened-патчей?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Обновлены патчи OpenWall и подготовлены установочные образы ..."		–1 +/–
Сообщение от СуперАноним on 04-Июн-09, 06:50
Некрофилы. Ничем это 2.4 не безопаснее 2.6
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Обновлены патчи OpenWall и подготовлены установочные образы ..."		+1 +/–
	Сообщение от SnoWLight on 04-Июн-09, 08:54
	Обоснуй
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "Обновлены патчи Openwall и подготовлены установочные образы ..."		+/–
	Сообщение от solardiz on 15-Июн-09, 21:42
	С точки зрения безопасности я бы сравнивал не столько 2.4 и 2.6 "по сути", сколько их нынешний статус. 2.4 находится в состоянии консервативной поддержки - при этом маловероятно, что будут привнесены _новые_ уязвимости между очередными релизами 2.4.x. 2.6 же активно развивается, и новые уязвимости то и дело привносятся, а затем на сколько-то minor release'ов позже исправляются. Особое внимание заслуживают "стабильные ветки" 2.6 - там ситуация в этом плане лучше. Сюда в частности относится ветка в RHEL 5 и соответствующая ветка OpenVZ. Я не говорю, что на серверах следует применять именно 2.4 (на новых скорее нет - драйвера отстали) или именно "стабильные ветки" 2.6 (кстати, в RHEL 5 и в OpenVZ есть back-port'ы драйверов). Можно и свежие 2.6, если учесть что для них регулярные обновления более важны. Каждый решит для себя и для конкретного случая.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Обновлены патчи OpenWall и подготовлены установочные образы ..."		+/–
Сообщение от renton (??) on 04-Июн-09, 12:32
Проект замечательный, но сил и средств вывести его на уровень Grsecurity у них нет. Жаль.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "Обновлены патчи Openwall и подготовлены установочные образы ..."		+1 +/–
	Сообщение от solardiz on 15-Июн-09, 22:04
	Насчет "вывода на уровень Grsecurity" - таких планов не было и нет, и дело тут не в силах и средствах (их действительно меньше, чем хотелось бы, но они нужны нам для других целей). Уж насколько меня где-то в 1997-1999 упрекали за "сомнительные" (не совершенные) hardening measures в -ow патчах (в том числе до того как патчи стали так называться) - хотя в этом и суть hardening'а, и многие, кто упрекал, позже это поняли (схожие изменения вошли в ряд систем) - но та "сборная солянка", которая получилась у grsecurity - это даже на мой тогдаший вкус было бы слишком. К тому же, grsecurity уже давно существует, так что я не вижу смысла нам дублировать чью-то работу ("выйдя на тот же уровень"). Что же касается "маркетинга", тут вопрос спорный. Возможно, был бы смысл "продвигать" -ow патчи (для начала придумать им название). Конечно, был и есть смысл перенести их на ядра 2.6 (без "излишеств") - тут нам действительно не хватило ресурсов, учитывая другие задачи - мы сосредоточились на userland'е.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Обновлены патчи ядра Linux от Openwall и подготовлены устано..."		+/–
Сообщение от Den (??) on 17-Фев-10, 21:30
как мне на основе openwall сделать web сервер? (NS+apache+mysql+php ...) есть ли рекомендации разработчиков по установке\настройке? или просто тупо брать пакеты под red hat и погнали? очень мало инфы вижу в сети касательно owl как сервера.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	20. "DNS и web-сервер на основе Owl"		+/–
	Сообщение от solardiz on 18-Фев-10, 14:50
	>как мне на основе openwall сделать web сервер? (NS+apache+mysql+php ...) >есть ли рекомендации разработчиков по установке\настройке? Опубликованных рекомендаций разработчиков в каком-либо централизованном месте (т.е. не отдельные ответы на отдельные вопросы, такие как этот), увы, пока нет. Планируются на после-ближайшего-релиза. По DNS-серверу: в Owl входит пакет BIND, его и использовать - настройки под /var/lib/bind/etc/, запуск/включение с помощью "service named start", "chkconfig named on" (т.е. как это обычно делается на RH-подобных дистрибутивах). См. также "man control", выдачу  команды "control" и настройки bind-debug и bind-slave там. С точки зрения безопасности, named по умолчанию chroot'ится и работает от выделенного псевдо-пользователя. Так что необходимости в использовании еще и отдельного контейнера нет, но на практике мы сами обычно создаем-таки контейнеры для DNS-серверов - для снижения рисков при администрировании, для ограничения и гарантии ресурсов, а также от атак "в другую сторону" (например, если держать DNS-сервер в одном контейнере с виртуальным веб-хостингом для клиентских сайтов, то возможный "взлом" root'а в этом контейнере через программы для хостинга приводил бы к непосредственному доступу и к DNS-зонам, что нежелательно). По Apache, MySQL, PHP: возможны варианты. У нас есть свои сборки, но мы их пока не публикуем (это - в планах). Пользователи Owl (сисадмины) могут либо тоже делать свои сборки (ставить под /usr/local, /opt, или собирать/ставить RPM-пакеты), либо ставить "чужие" пакеты, совместимые с Owl (CentOS 4 и т.п.) >или просто тупо брать пакеты под red hat и погнали? Это один из вариантов, хотя мы сами так не делаем. Мы используем CentOS'овые или другие чужие сборки для менее существенных или более тяжелых вещей. Например, пакет emacs-nox можно брать из CentOS, а сборку Sun JRE - официальную от Sun - если эти вещи на какой-то системе оказались нужны. >очень мало инфы вижу в сети касательно owl как сервера. К сожалению, да. Вопросы нам обычно задают "лично", а не в owl-users, несмотря на явную просьбу задавать их именно там (на английском, хотя можно создать и русскоязычный список рассылки если появится достаточный "спрос"). Есть черновик User Guide по Owl - его надо подготовить к публикации и опубликовать. Это одна из наших текущих задач по Owl. А пользователи Owl могли бы и сами активнее делиться опытом. У нас есть wiki, доступная для редактирования всем (после регистрации). Есть список рассылки owl-users, где можно и нужно анонсировать новые "статьи" на wiki. Только пока что это мало кто делает. Частично это связано с тем что у нас просто мало пользователей, частично с тем какие это пользователи (Owl очень избирательна в выборе своих пользователей/сисадминов...) Те, кто сам разобрался и не встретил особых сложностей, не очень склонны "просто так" делиться опытом (не в ответ на чью-то просьбу).
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема