https://opennet.ru/openforum/vsluhforumID3/50963.html В сборках FreeBSD 7.1-RELEASE-p4 и 7.0-RELEASE-p11 исправлены две уязвимости:<br><br><br><br>- Проблема безопасности (http://security.freebsd.org/advisories/FreeBSD-SA-09:06.ktimer.asc), вызванная ненадлежащей проверкой величины передаваемого функции ktimer целочисленного аргумента, может быть использована для организации непривилегированным пользователем атаки, которая позволяет изменить содержимое произвольной области памяти ядра, что может быть использовано для выхода из изолированного jail-окружения, обхода системных ограничений или для замены идентификатора пользователя у определенного процесса и его выполнения с правами администратора (root). <br><br><br>- Уязвимость (http://security.freebsd.org/advisories/FreeBSD-EN-09:01.kenv.asc) в коде системного вызова kenv(2), связанная с отсутствием проверки размера выводимых данных при создании буфера для вывода содержимого всех переменных окружения ядра. Позволяет непривилегированному пользователю инициировать выделение ядром буфера слишком большого...<br><br>URL: http://securit https://opennet.ru/openforum/vsluhforumID3/50963.html#73 Sun, 29 Mar 2009 04:08:15 GMT это я выдернул из конфига что под руку попалось. MROUTING с IPDIVERT редко где нужно, а так, да, нехватает QUOTA, в 7.0, к примеру, нужен SCHED_ULE, фаирвол предпочитаю ACCEPT именно в ядре, а то, мало ли, сервера удаленные. опять же, порой: PAE, где-то DEVICE_POLLING, ZERO_COPY_SOCKETS...<br> https://opennet.ru/openforum/vsluhforumID3/50963.html#72 Fri, 27 Mar 2009 14:33:37 GMT &gt;[оверквотинг удален]<br>&gt;options IPFIREWALL_VERBOSE_LIMIT=10 <br>&gt;options IPFIREWALL_DEFAULT_TO_ACCEPT <br>&gt;<br>&gt;options DUMMYNET <br>&gt;options MROUTING <br>&gt;options IPDIVERT <br>&gt;<br>&gt;options INCLUDE_CONFIG_FILE <br>&gt;<br>&gt;options QUOTA <br><br>ipfw.ko (при желании собирается с forward не меняя конфига GENERIC, т.е. можно будет обновляться через freebsd-update, остальное настраивается через sysctl)<br>dummynet.ko<br>ipdivert.ko<br>ip_mroute.ko<br>Т.е. из перечисленного GENERIC нужно менять только для включения квот.<br>Бывают, конечно, случаи когда необходимо пересобирать ядро, но в большинстве случаев на сервере достаточно GENERIC. Времена когда из ядра выкидывали все ненужные драйвера чтобы сэкономить пару мегабайт памяти действительно давно в прошлом.<br> <br> https://opennet.ru/openforum/vsluhforumID3/50963.html#71 Thu, 26 Mar 2009 14:29:51 GMT &gt;В линуксе нет системы портов. <br><br>генту посмотрите. и смысла это не меняет, в portaudit ключевое слово совсем даже не port.<br> https://opennet.ru/openforum/vsluhforumID3/50963.html#70 Thu, 26 Mar 2009 12:56:09 GMT В линуксе нет системы портов. <br> https://opennet.ru/openforum/vsluhforumID3/50963.html#69 Wed, 25 Mar 2009 20:24:42 GMT &gt;Я вижу, тут собралось много умных фряшников. <br><br>Нет. :)<br><br>&gt;В ведении нашего отдела состоит порядка 50 серверов. По масштабам хостинга это <br>&gt;средний ближе к мелкому. <br>&gt;На 16 машинах дебиян, на остальных центос. Системы пакетные и спокойно обновляются <br>&gt;по крону. Узрев в логах обновления что-нибудь глобальное типа linux-kernel или <br>&gt;glibc, мы устраиваем машинкам внеплановое техобслуживание (проще говоря, пылесосинг) с выключением.<br><br>У меня тож центось обновляется кроном, а вот фришные сервера я не трогаю и патчи накладываю исключительно руками. Благо делать это нужно раза два в год и даже на 50 машинах делается легко и быстро.<br> <br>&gt;За два года ни одной проблемы при включении. <br>&gt;<br>&gt;А вот теперь представьте, что у вас 50 машин с фряхой. И <br>&gt;на всех надо срочно обновить ядро. Что бы вы сделали в <br>&gt;этой ситуации? <br><br>Весь вопрос в железе. Если оно однотипно, то просто компилишь на тестовом серваке ядро и разливаешь по серверам, делов то на полчаса. Да, сразу хочется уточнить, что полчаса не простоя, а работ https://opennet.ru/openforum/vsluhforumID3/50963.html#68 Wed, 25 Mar 2009 14:35:07 GMT &gt;&gt;ну шо, побежал пересобирать ядра? Или пусть вендоры сами найдут твои мегопродакшен <br>&gt;&gt;серваки и исправят? Или может это лучше сделают красноглазые бздишники, или <br>&gt;&gt;хакеры. <br>&gt;<br>&gt;Ага, ломанулся пересобирать. Откройте для себя Ksplice. http://ksplice.com/ <br>&gt;P.S: Кстати, а во FreeBSD существует механизм обновлений работающего ядра без перезагрузки? <br>&gt;<br>&gt;Только не надо говорить, что во Фришном ядре меньше багов, поэтому такой <br>&gt;софт там не нужен. <br><br>а в линухе есть portaudit?<br><br> https://opennet.ru/openforum/vsluhforumID3/50963.html#67 Wed, 25 Mar 2009 14:31:57 GMT &gt;ну например я и что? если там не нужен ipsec например то <br>&gt;в GENERIC есть все что нужно, времена когда делали кучу строк <br>&gt;с nodevice давно прошли, уже это не актуально <br><br>да хотя бы:<br><br>options IPFIREWALL<br>options IPFIREWALL_FORWARD<br>options IPFIREWALL_VERBOSE<br>options IPFIREWALL_VERBOSE_LIMIT=10<br>options IPFIREWALL_DEFAULT_TO_ACCEPT<br><br>options DUMMYNET<br>options MROUTING<br>options IPDIVERT<br><br>options INCLUDE_CONFIG_FILE<br><br>options QUOTA<br> https://opennet.ru/openforum/vsluhforumID3/50963.html#66 Wed, 25 Mar 2009 14:28:18 GMT &gt;&gt;Вы собираете ядра на продакшен-сервере? Во время его работы? O_o <br>&gt;<br>&gt;Я что, псих?У меня все дома.Я просто не пользуюсь в продакшне системами <br>&gt;где надо самому компилить ядро.Нахрен мне на *себя* взваливать *вендорскую* ответственность?Я <br>&gt;не поклонник Мазоха. <br><br>вы пользуетесь ядрами по умолчанию - я вас поздравляю! а для меня это не позволительная роскошь.<br> https://opennet.ru/openforum/vsluhforumID3/50963.html#65 Wed, 25 Mar 2009 09:23:17 GMT У ляликса есть такая штука kexec вызовы, там это вполне проворачивается. Смею заявить, юзер264 перестраховщик-лентяй, тот же izen хоть и тяготеет к жабофильству и бздунству, но крайне адекватные посты оставил в этой новости<br>