|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форумы Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Обновлены патчи OpenWall и подготовлены установочные образы ..." | +/– | |
Сообщение от opennews (ok) on 03-Июн-09, 22:57 | ||
Александр Песляк (Solar Designer) представил (http://www.openwall.com/lists/announce/2009/06/03/1) адаптированную для Linux ядра 2.4.37.1 версию повышающих безопасность (http://www.openwall.com/linux/README.shtml) "-ow (http://www.openwall.com/linux/)" (OpenWall) патчей. Прошлая версия "-ow" патчей была выпущена (ftp://ftp.openwall.com/pub/patches/linux/v2.4/historical/) для ядра 2.4.35 в 2007 году. Кроме адаптации для новой версии ядра в патчах переработана возможность запрещения маппинга страниц нулевого размера (CONFIG_HARDEN_PAGE0), которая теперь основана на использовании системного вызова vm.mmap_min_addr. Из других возможностей "-ow" патчей можно отметить защиту от выполнения кода в стеке, ограничение доступа к системным вызовам, разрешающим работу CAP_SYS_RAWIO процессов в VM86 режиме, защита от создания fifo-каналов и символических ссылок в /tmp, ограничение доступа к /proc, разрушение неиспользуемых сегментов разделяемой памяти и т.д. | ||
Высказать мнение | Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Обновлены патчи OpenWall и подготовлены установочные образы ..." | +/– | |
Сообщение от User294 (ok) on 03-Июн-09, 22:57 | ||
Сразу видно секурити-маньяков.А зачем они пользуют 2.4? | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
2. "Обновлены патчи OpenWall и подготовлены установочные образы ..." | +2 +/– | |
Сообщение от тоже user on 03-Июн-09, 23:04 | ||
Ну тык они еще не смогли проапгрейдиться до 2.6. Столько кода... | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
3. "Обновлены патчи OpenWall и подготовлены установочные образы ..." | +/– | |
Сообщение от szh (ok) on 04-Июн-09, 03:56 | ||
по моему ты сам ответил на свой вопрос | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
7. "Обновлены патчи OpenWall и подготовлены установочные образы ..." | +/– | |
Сообщение от anonymous (??) on 04-Июн-09, 10:31 | ||
Ога, маньяки: | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
10. "Обновлены патчи Openwall и подготовлены установочные образы ..." | +/– | |
Сообщение от solardiz on 15-Июн-09, 21:30 | ||
По поводу cdrkit, ситуация следующая: да, грязный код и, да, на сервере он обычно не нужен. Но одно из свойств Owl - это то, что система в состоянии сама себя пересобрать, включая создание ISO'шки. Для работы "make iso", нам нужен mkisofs или его аналог. Какое-то время в Owl-current для этого паковался именно отдельно-взятый mkisofs из cdrtools. Теперь мы пакуем cdrkit (клон cdrtools) целиком, с рядом исправлений, т.к. остальная функциональность вообщем-то тоже полезна (записать диск с новой версией Owl или с другой системой на машине с Owl). Дальнейшие перспективы туманны, т.к. и код оставляет желать лучшего и конфликт вокруг кода из cdrtools не радует. Жаль, что полноценных альтернатив нет (или по крайней мере мы о них не знаем). | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
17. "Обновлены патчи Openwall и подготовлены установочные образы ..." | +/– | |
Сообщение от Michael Shigorin (ok) on 04-Ноя-09, 23:15 | ||
Тут пробегал какой-то wodim, но не вникал. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
18. "Обновлены патчи Openwall и подготовлены установочные образы ..." | +/– | |
Сообщение от solardiz on 04-Ноя-09, 23:42 | ||
>Тут пробегал какой-то wodim, но не вникал. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
9. "Обновлены патчи Openwall и подготовлены установочные образы ..." | +2 +/– | |
Сообщение от solardiz on 15-Июн-09, 21:24 | ||
Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" - на данный момент, этим занимается Willy Tarreau - и делает это, на мой взгляд, хорошо (как раз так, как это надо для "пожилой" ветки - с одной стороны, очень консервативно, но с другой своевременно включая все действительно важные исправления, в первую очередь уязвимостей, а также отдельные "лёгкие" исправления и дополнения). В README к -ow патчам была и остается заявлена поддержка ветки 2.4 "до конца", так что для меня это вопрос ответственности перед теми, кто на эти патчи "завязался" (хотя вообщем-то сложности с них уйти нет). | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
13. "Обновлены патчи Openwall и подготовлены установочные образы ..." | +2 +/– | |
Сообщение от User294 (??) on 17-Июн-09, 14:28 | ||
>Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" - | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
14. "Обновлены патчи Openwall и подготовлены установочные образы ..." | +/– | |
Сообщение от solardiz on 17-Июн-09, 21:28 | ||
В целом, я со всем, сказанным User294 согласен. Небольшие комментарии: | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
15. "Обновлены патчи Openwall и подготовлены установочные образы ..." | +/– | |
Сообщение от solardiz on 22-Июн-09, 17:32 | ||
Прошло 5 дней, мои исправления текста новости так и не опубликованы... В следующий раз не буду тратить время. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
16. "Обновлены патчи Openwall и подготовлены установочные образы ..." | +/– | |
Сообщение от Maxim Chirkov (ok) on 22-Июн-09, 20:51 | ||
>Прошло 5 дней, мои исправления текста новости так и не опубликованы... В | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
4. "Обновлены патчи OpenWall и подготовлены установочные образы ..." | +/– | |
Сообщение от daevy on 04-Июн-09, 06:03 | ||
кто юзал? это как-то отличается от hardened-патчей? | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
5. "Обновлены патчи OpenWall и подготовлены установочные образы ..." | –1 +/– | |
Сообщение от СуперАноним on 04-Июн-09, 06:50 | ||
Некрофилы. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
6. "Обновлены патчи OpenWall и подготовлены установочные образы ..." | +1 +/– | |
Сообщение от SnoWLight on 04-Июн-09, 08:54 | ||
Обоснуй | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
11. "Обновлены патчи Openwall и подготовлены установочные образы ..." | +/– | |
Сообщение от solardiz on 15-Июн-09, 21:42 | ||
С точки зрения безопасности я бы сравнивал не столько 2.4 и 2.6 "по сути", сколько их нынешний статус. 2.4 находится в состоянии консервативной поддержки - при этом маловероятно, что будут привнесены _новые_ уязвимости между очередными релизами 2.4.x. 2.6 же активно развивается, и новые уязвимости то и дело привносятся, а затем на сколько-то minor release'ов позже исправляются. Особое внимание заслуживают "стабильные ветки" 2.6 - там ситуация в этом плане лучше. Сюда в частности относится ветка в RHEL 5 и соответствующая ветка OpenVZ. Я не говорю, что на серверах следует применять именно 2.4 (на новых скорее нет - драйвера отстали) или именно "стабильные ветки" 2.6 (кстати, в RHEL 5 и в OpenVZ есть back-port'ы драйверов). Можно и свежие 2.6, если учесть что для них регулярные обновления более важны. Каждый решит для себя и для конкретного случая. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
8. "Обновлены патчи OpenWall и подготовлены установочные образы ..." | +/– | |
Сообщение от renton (??) on 04-Июн-09, 12:32 | ||
Проект замечательный, но сил и средств вывести его на уровень Grsecurity у них нет. Жаль. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
12. "Обновлены патчи Openwall и подготовлены установочные образы ..." | +1 +/– | |
Сообщение от solardiz on 15-Июн-09, 22:04 | ||
Насчет "вывода на уровень Grsecurity" - таких планов не было и нет, и дело тут не в силах и средствах (их действительно меньше, чем хотелось бы, но они нужны нам для других целей). Уж насколько меня где-то в 1997-1999 упрекали за "сомнительные" (не совершенные) hardening measures в -ow патчах (в том числе до того как патчи стали так называться) - хотя в этом и суть hardening'а, и многие, кто упрекал, позже это поняли (схожие изменения вошли в ряд систем) - но та "сборная солянка", которая получилась у grsecurity - это даже на мой тогдаший вкус было бы слишком. К тому же, grsecurity уже давно существует, так что я не вижу смысла нам дублировать чью-то работу ("выйдя на тот же уровень"). Что же касается "маркетинга", тут вопрос спорный. Возможно, был бы смысл "продвигать" -ow патчи (для начала придумать им название). Конечно, был и есть смысл перенести их на ядра 2.6 (без "излишеств") - тут нам действительно не хватило ресурсов, учитывая другие задачи - мы сосредоточились на userland'е. | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
19. "Обновлены патчи ядра Linux от Openwall и подготовлены устано..." | +/– | |
Сообщение от Den (??) on 17-Фев-10, 21:30 | ||
как мне на основе openwall сделать web сервер? (NS+apache+mysql+php ...) | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
20. "DNS и web-сервер на основе Owl" | +/– | |
Сообщение от solardiz on 18-Фев-10, 14:50 | ||
>как мне на основе openwall сделать web сервер? (NS+apache+mysql+php ...) | ||
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |