| |
| 2.7, anonymous (??), 10:31, 04/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
Ога, маньяки:
> В комплект включен новый пакет cdrkit, предназначенный для записи CD/DVD дисков.
Самое нужное для супер-безопасного сервера.
| | |
| |
| 3.10, solardiz (?), 21:30, 15/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
 По поводу cdrkit, ситуация следующая: да, грязный код и, да, на сервере он обычно не нужен. Но одно из свойств Owl - это то, что система в состоянии сама себя пересобрать, включая создание ISO'шки. Для работы "make iso", нам нужен mkisofs или его аналог. Какое-то время в Owl-current для этого паковался именно отдельно-взятый mkisofs из cdrtools. Теперь мы пакуем cdrkit (клон cdrtools) целиком, с рядом исправлений, т.к. остальная функциональность вообщем-то тоже полезна (записать диск с новой версией Owl или с другой системой на машине с Owl). Дальнейшие перспективы туманны, т.к. и код оставляет желать лучшего и конфликт вокруг кода из cdrtools не радует. Жаль, что полноценных альтернатив нет (или по крайней мере мы о них не знаем).
| | |
| |
| |
| 5.18, solardiz (?), 23:42, 04/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Тут пробегал какой-то wodim, но не вникал.
wodim - одна из программ пакета cdrkit. Если еще точнее, то это переименованный и слегка измененный клон не очень свежей версии cdrecord из cdrtools. Собственно, wodim в Owl-current у нас и есть (вместе с другими программами из cdrkit), но мы этому не очень рады... хотелось бы лучше, а нету. Впрочем, он свою функцию выполняет, CD/DVD пишет.
Кстати, мы отучили cdrkit (наш пакет) от зависимости от cmake для сборки:
http://lists.freedesktop.org/archives/distributions/2009-May/000314.html
Альтернатива - dvd+rw-tools - но там нет поддержки CD (только DVD), да и mkisofs всё равно брать откуда-то надо.
>PS: зеркало на ftp://ftp.linux.kiev.ua/pub/Linux/Owl/ всё так же работает. :)
Спасибо! Может, добавим его в список.
Кстати, мы теперь создаем новые ISO'шки Owl-current примерно раз в месяц. На данный момент свежайшие - от 25-го октября. Прямые ссылки на скачивание теперь есть прямо с Owl homepage - http://www.openwall.com/Owl/
| | |
|
|
|
| 2.9, solardiz (?), 21:24, 15/06/2009 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" - на данный момент, этим занимается Willy Tarreau - и делает это, на мой взгляд, хорошо (как раз так, как это надо для "пожилой" ветки - с одной стороны, очень консервативно, но с другой своевременно включая все действительно важные исправления, в первую очередь уязвимостей, а также отдельные "лёгкие" исправления и дополнения). В README к -ow патчам была и остается заявлена поддержка ветки 2.4 "до конца", так что для меня это вопрос ответственности перед теми, кто на эти патчи "завязался" (хотя вообщем-то сложности с них уйти нет).
Что касается перевода дистрибутива Owl на ядра 2.6 "официально", это надо делать. Скорее всего, мы официально перейдем на ядра OpenVZ (на данный момент это будет ветка "rhel5", а позже вероятно "rhel6") с дополнительными патчами. Пока же официальным ядром на Owl является 2.4.37.1-ow1, хотя фактически многие Owl-системы (вероятно, большинство) работают с ядрами 2.6 (мы сами, когда поддерживаем подобные системы для клиентов, обычно ставим OpenVZ-ядра из ветки "rhel5"). Owl - это главным образом userland - но для начальной установки нужно какое-то ядро, за которое мы "отвечаем". А "пользователь" (админ) уже возьмет то ядро, которое ему нужно и за которое он будет отвечать сам. Это далеко не идеальный подход, но это нынешнее состояние вещей.
P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения некоторых функций -ow патчей.
| | |
| |
| 3.13, User294 (??), 14:28, 17/06/2009 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" -
Для меня это не странно.Я этот antique вижу каждый день.На роутерах и прочая.Единственный плюс который я от него заметил - сетевые дела на мелких железках с дохлым процом на 2.4 как-то порезвее чем на 2.6.Но все-таки 2.4 часто икается... (отдельные маньяки бэкпортят в него вкусности типа epoll и прочая, но это уж совсем изврат и большая часть народа просто валит на 2.6, даже в embedded :P)
>"пожилой" ветки - с одной стороны, очень консервативно, но с другой
>своевременно включая все действительно важные исправления, в первую очередь уязвимостей,
Да, в ряде случаев гут - всяким там производителям мелких роутеров и т.п..А вот на более мощных и разлапистых системах... лично я не вижу для себя смысла в 2.4 вообще.
>для меня это вопрос ответственности перед теми, кто на эти патчи
>"завязался" (хотя вообщем-то сложности с них уйти нет).
Ответственность - это хорошо.Респекты за подход.
>подобные системы для клиентов, обычно ставим OpenVZ-ядра из ветки "rhel5").
Ну так это ж как-то неправильно.Чем меньше "напильник" потребен тем активнее систему будут использовать.А система где секурити уделено внимание определенно достойна такой участи, а?
> Owl - это главным образом userland
Система без ядра - как авто без движка.Вроде как настоящее, но не ездит.
>Это далеко не идеальный подход, но это нынешнее состояние вещей.
Это достаточно геморройный для админа подход - админ де факто становится наполовину майнтайнером.Хоть в принципе это и не админское дело как правило.Нет, возможно это кому-то нравится, я это могу понять.Но не факт что всем.
>P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения
>некоторых функций -ow патчей.
А что мешает их исправить?На опеннете новости может редактировать кто угодно (изменения апрувятся модераторами).И врядли кто-то поправит новость лучше вас...
| | |
| |
| 4.14, solardiz (?), 21:28, 17/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
В целом, я со всем, сказанным User294 согласен. Небольшие комментарии:
> Система без ядра - как авто без движка. Вроде как настоящее, но не ездит.
Не всегда так. Например, при использовании OpenVZ, большинство userland'ов своего ядра не имеют - ядро одно на физический сервер.
>>P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения
>>некоторых функций -ow патчей.
>
>А что мешает их исправить?На опеннете новости может редактировать кто угодно (изменения
>апрувятся модераторами).И врядли кто-то поправит новость лучше вас...
Я только что исправил явные ошибки, сохранив основной текст новости. Мои изменения ждут публикации.
| | |
| |
| 5.15, solardiz (?), 17:32, 22/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
Прошло 5 дней, мои исправления текста новости так и не опубликованы... В следующий раз не буду тратить время.
| | |
| |
| 6.16, Maxim Chirkov (ok), 20:51, 22/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
 >Прошло 5 дней, мои исправления текста новости так и не опубликованы... В
>следующий раз не буду тратить время.
Прошу прощения, правка мимо глаз пролетела. Нашел в архивах и подтвердил изменения.
| | |
|
|
|
|
|
| |
| 2.11, solardiz (?), 21:42, 15/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
С точки зрения безопасности я бы сравнивал не столько 2.4 и 2.6 "по сути", сколько их нынешний статус. 2.4 находится в состоянии консервативной поддержки - при этом маловероятно, что будут привнесены _новые_ уязвимости между очередными релизами 2.4.x. 2.6 же активно развивается, и новые уязвимости то и дело привносятся, а затем на сколько-то minor release'ов позже исправляются. Особое внимание заслуживают "стабильные ветки" 2.6 - там ситуация в этом плане лучше. Сюда в частности относится ветка в RHEL 5 и соответствующая ветка OpenVZ. Я не говорю, что на серверах следует применять именно 2.4 (на новых скорее нет - драйвера отстали) или именно "стабильные ветки" 2.6 (кстати, в RHEL 5 и в OpenVZ есть back-port'ы драйверов). Можно и свежие 2.6, если учесть что для них регулярные обновления более важны. Каждый решит для себя и для конкретного случая.
| | |
|
| 1.8, renton (??), 12:32, 04/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Проект замечательный, но сил и средств вывести его на уровень Grsecurity у них нет. Жаль.
| | |
| |
| 2.12, solardiz (?), 22:04, 15/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
Насчет "вывода на уровень Grsecurity" - таких планов не было и нет, и дело тут не в силах и средствах (их действительно меньше, чем хотелось бы, но они нужны нам для других целей). Уж насколько меня где-то в 1997-1999 упрекали за "сомнительные" (не совершенные) hardening measures в -ow патчах (в том числе до того как патчи стали так называться) - хотя в этом и суть hardening'а, и многие, кто упрекал, позже это поняли (схожие изменения вошли в ряд систем) - но та "сборная солянка", которая получилась у grsecurity - это даже на мой тогдаший вкус было бы слишком. К тому же, grsecurity уже давно существует, так что я не вижу смысла нам дублировать чью-то работу ("выйдя на тот же уровень"). Что же касается "маркетинга", тут вопрос спорный. Возможно, был бы смысл "продвигать" -ow патчи (для начала придумать им название). Конечно, был и есть смысл перенести их на ядра 2.6 (без "излишеств") - тут нам действительно не хватило ресурсов, учитывая другие задачи - мы сосредоточились на userland'е.
| | |
|
| 1.19, Den (??), 21:30, 17/02/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 как мне на основе openwall сделать web сервер? (NS+apache+mysql+php ...)
есть ли рекомендации разработчиков по установке\настройке?
или просто тупо брать пакеты под red hat и погнали?
очень мало инфы вижу в сети касательно owl как сервера.
| | |
| |
| 2.20, solardiz (?), 14:50, 18/02/2010 [^] [^^] [^^^] [ответить] | +/– | Опубликованных рекомендаций разработчиков в каком-либо централизованном месте т... большой текст свёрнут, показать | | |
|
|
