The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление сборки Openwall GNU/*/Linux

25.05.2018 10:49

Сформировано обновление iso-образов и шаблонов контейнеров OpenVZ стабильной ветки Openwall GNU/*/Linux (Owl) 3.1-stable. По сравнению с прошлым обновлением iso-образов, выпущенным в августе 2016 года, в состав нового выпуска включены накопившиеся обновления с устранением уязвимостей, в том числе исправлены уязвимости в ядре Linux, glibc, openssl, procps-ng, db4, openssh, bind и gnupg. Также обновлены шаблоны контейнеров для OpenVZ и сборки находящейся в разработке ветки Owl-current, которая последние несколько лет не развивается и находится в состоянии сопровождения (устраняются только критические уязвимости).

Owl представляет собой компактный дистрибутив GNU/Linux, ориентированный на обеспечение высокой безопасности, который может использоваться как для создания высокозащищённых серверных систем, так и для создания базовой начинки изолированных контейнеров и организации работы контейнерной виртуализации на основе OpenVZ. В дистрибутиве по умолчанию применяются передовые методы обеспечения защиты, используются наиболее безопасные настройки (например, по умолчанию не поставляется программ с флагом suid) и поставляются только пакеты, заслуживающие доверия и прошедшие аудит исходного кода. Кроме готовых бинарных пакетов, предоставляются удобные средства для пересборки пакетов из исходных текстов (make buildworld) и формирования iso-образа или начинки виртуального окружения.



  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Обновление сборки Openwall GNU/*/Linux 3.1-stable
  3. OpenNews: Анонсирован Openwall GNU/*/Linux 3.1-stable
  4. OpenNews: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
  5. OpenNews: Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux
  6. OpenNews: Выпуск yescrypt 1.0.0, новой схемы хеширования паролей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48656-owl
Ключевые слова: owl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Диносуслик (?), 11:43, 25/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –7 +/
    Молодцы!
     
  • 1.5, Аноним (-), 18:47, 25/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А что значит этот звездолинукс в названии?
     
     
  • 2.6, solardiz (ok), 19:32, 25/05/2018 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Звездочка означает что многие компоненты и не GNU и не Linux, но не менее важны. Если уж rms настаивает на упоминании GNU, то логично хоть как-то упомянуть остальное.
     
     
  • 3.9, Аноним (-), 23:12, 26/05/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Сейчас режим сопровождения, а каковы перспективы?
     
     
  • 4.10, solardiz (ok), 12:10, 27/05/2018 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Перспективы не ясны. Возможен переход на ядра OpenVZ/Virtuozzo 7 и обновление userland'а, чтобы получить легковесную альтернативу VzLinux (без bloat'а, пришедшего в userland VzLinux из RHEL7, без prl_disp_service). В сочетании с этим возможно мы, наконец, включим в Owl набор пакетов для веб-хостинга (начиная с nginx), чтобы Owl была более применима и внутри контейнеров тоже. Либо же продолжим сопровождение и потом будет EOL. Одна из причин нынешней стагнации в том, что c Owl у нас не связано никакого дохода - когда-то мы предоставляли услуги на базе Owl, но сейчас нам это неинтересно (так как не масштабируется и отвлекает от новых проектов). С другой стороны, легковесная альтернатива VzLinux и веб-сайты (включая wiki и т.п.) нужны и нам самим, сидеть на устаревших системах еще долго не выйдет (нужна поддержка новых версий протоколов и т.д.), а существующие дистрибутивы во многом не устраивают. Заодно на базе Owl можно опробовать будущий yescrypt-lite для последующей его интеграции другими дистрибутивами (аналогично тому как в 2000 году мы сделали с crypt_blowfish). Так что посмотрим.
     
     
  • 5.11, Аноним (-), 15:09, 27/05/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Спасибо за развернутый ответ, будем наблюдать, в т.ч. за yescrypt.
     
  • 3.12, solardiz fan (?), 15:48, 24/06/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    solardiz, ответь пожалуйста:

    1) Какой из 3 путей обеспечения максимальной безопасности системы ты считаешь более правильным, через:
    - дизайн https://en.wikipedia.org/wiki/Secure_by_design
    - изоляцию https://en.wikipedia.org/wiki/Qubes_OS
    - неясность https://en.wikipedia.org/wiki/Security_through_obscurity
    - сочетание (например дизайн + изоляция, типа Openwall на dom0 в качестве хост-системы для множества Qubes(Xen)-систем)
    - свой вариант

    2) Какие системы сборки тебе кажутся более правильными и технологичными:
    - Openwall-овская (Окружение состоит из двух деревьев каталогов. Одно дерево содержит оригинальные архивы исходных текстов. Другое, размещенное в CVS-репозитарии, содержит правила сборки, исправления, а также специфические для Owl дополнения к пакетам. На основе этих двух деревьев исходных текстов собираются бинарные пакеты. Мы используем RPM для работы с готовыми бинарными пакетами, что обеспечивает системе на базе Owl корректную обработку взаимозависимых пакетов от (или рассчитанных на) Red Hat Linux и другие дистрибутивы.)
    - альтовская https://www.altlinux.org/О_стратегии_сборки_RPM_пакетов
    - Guix-овская https://arxiv.org/pdf/1305.4584v1.pdf
    - свой вариант

    3) Не преувеличено ли значение воспроизводимых сборок https://reproducible-builds.org/ ? Насколько важна воспроизводимость для безопасности?

     
     
  • 4.13, solardiz (ok), 21:06, 01/07/2018 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    0 Не советую быть fan ом 1 Сочетание всех или части перечисленных путей, а та... большой текст свёрнут, показать
     
     
  • 5.14, рпрарпо (?), 05:50, 21/07/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Спасибо за развёрнутый ответ Под такой порядок важности более-менее подходит Q... большой текст свёрнут, показать
     
     
  • 6.15, solardiz (ok), 12:20, 21/07/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Qubes dom0 не использует и не обновляется из template. На него обновления скачиваются (через sys-firewall, так как сам dom0 доступа в сеть не имеет) и ставятся отдельно. Или не ставятся, если не хочешь.

    На dom0 (да и не только) действительно не обязательно Linux, но если Linux, то я рекомендовал взять за основу Alpine.

    Owl на Qubes без проблем ставится в HVM, но применения там Owl (если не добавлять много чего еще) очень ограничены.

    У меня нет задачи "выбора наиболее технологичной и универсальной системы сборки", поэтому нет и готового ответа на этот вопрос. Если бы такая задача всерьез возникла, я бы подумал о ее оправданности (часто специализированные решения лучше универсального) и либо от нее отказался, либо потратил немало времени на изучение имеющихся вариантов.

     
     
  • 7.16, рпрарпо (?), 18:45, 21/07/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > Qubes dom0 не использует и не обновляется из template. На него обновления
    > скачиваются (через sys-firewall, так как сам dom0 доступа в сеть не
    > имеет) и ставятся отдельно. Или не ставятся, если не хочешь.

    (Спасибо за быстрый ответ) Надо ставить, в Xen-е же тоже периодически появляются уязвимости (хотя и не так часто как в ядре).

    > На dom0 (да и не только) действительно не обязательно Linux, но если
    > Linux, то я рекомендовал взять за основу Alpine.

    Спасибо за совет мудрый, только сейчас вспомнил, что у Alpine вроде бы даже ядро до сих пор заGrSec-уренное. Легковесный и безопасный - то что докторо прописал для dom0.

    > Owl на Qubes без проблем ставится в HVM

    Неожиданно и приятно, а как именно ставится? В принципе, задним числом сейчас понимаю, что так и должно быть - Owl же изначально не очень далеко от Fedora находится, и с QubesOS это как раз тот случай, когда RH-совместимость Owl  - однозначный плюс. Хотелось бы попробовать Owl-template в текущих Кубиках 4.0 (заодно будет повод снова их потестить).

    >но применения там Owl (если не добавлять много чего еще) очень ограничены.

    Обычный просмотр статеек-роликов и зависание на форумах скорее всего потянет, не? Если бы ещё как выше было написано Owl-template мог бы крутить внутри себя OpenVZ, было бы вообще круто.

    > У меня нет задачи "выбора наиболее технологичной и универсальной системы сборки", поэтому
    > нет и готового ответа на этот вопрос. Если бы такая задача
    > всерьез возникла, я бы подумал о ее оправданности (часто специализированные решения
    > лучше универсального) и либо от нее отказался, либо потратил немало времени
    > на изучение имеющихся вариантов.

    Да понятно что без бутылки^C^C^C отдельного детального исследования тут не разобраться, я про обычную поверхностную оценку в жанре "простой форумный трёп". Интересно же знать мнение спеца. Просто думаю - стоит тратить время на то чтобы вникать в guix/nix и всю эту функциональную хренотень, или просто дальше сидеть на Кальке.

     
     
  • 8.17, solardiz (ok), 20:21, 21/07/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Обновления Xen да, желательно ставить Еще обновления Qubes-специфичных компонен... текст свёрнут, показать
     
     
  • 9.18, рпрарпо (?), 18:22, 24/07/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Да, надо понимать, какая часть обновления затрагивает нужное микрокод , а какая... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру