| 1.1, Толя Вихров (ok), 13:14, 16/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
 Странно, написал комментарий, а он куда то пропал: обновил страницу - а его нету О_о
Напишу еще раз: а в этом Openwall точно нету бэкдоров ?
| | |
| |
| 2.6, uldus (ok), 14:18, 16/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Напишу еще раз: а в этом Openwall точно нету бэкдоров ?
Вероятность появления в Owl бэкдора намного ниже, чем в других Linux-дистрибутивах так как команда у проекта достаточно маленькая и сплоченная. Все кто участвует в разработке Owl имеют большой опыт и заработанный за годы упорной работы авторитет. Уж чьему коду я могу доверять, так это коду Solar Designer-а, который зарекомендовал себя как порядочный и принципиальный человек. Таким сколько не предлагай благ в обмен на подлость, они откажутся, так как чистая совесть и истина все равно дороже.
Весь свой и чужой код подвергается жесткому аудиту, в процессе которого не один десяток новых дыр был найден. Отчасти небольшое число пакетов в дистрибутиве связано как раз с тем, что пропускается только прошедший аудит код.
| | |
|
| 1.2, des7 (?), 13:25, 16/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Гарантий что в той или иной системе нет бекдоров никто не даст. В нашей жизни только в морге дают 100 % гарантию.
| | |
| |
| 2.3, Толя Вихров (ok), 13:27, 16/12/2010 [^] [^^] [^^^] [ответить]
| –5 +/– |
Ну и чем тогда оно лучше OpenBSD ? В нем, так же как и в OpenBSD, могут быть трояны.
| | |
| |
| 3.4, linux_must_die (ok), 13:34, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 можно подумать что на компе ты хранишь тонны цп или секрет вечной молодости и все хотят у тебя его украсть. какая разница, есть там бэкдоры или нет? шанс что тебя поломают через такой бэкдор стремится к нулю.
| | |
| |
| 4.8, Name (?), 15:57, 16/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
вот именно, если надо то к тебе без всяких бэкдоров, а через самые фронтдоры придут, вынут лом и ты сам всё покажешь :)
| | |
|
| 3.5, Anonimous (?), 14:05, 16/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>> В нем, так же как и в OpenBSD, могут быть трояны.
И много Вы видели троянов в OpenBSD?
А так-то да, могут, конечно. :-)
| | |
|
|
| |
| 2.27, solardiz (ok), 18:26, 18/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Спасибо за все поздравления!
Кстати, вот обсуждение на Slashdot (при публикации модератором, URL изменился - тот, что я постил раньше, теперь соответствует черновому/архивному варианту новости):
http://linux.slashdot.org/story/10/12/17/203204/Openwall-Linux-30-mdash-No-SU
103 комментария (и их количество еще растет), из которых дельных мало и их найти сложно - они где-то там прячутся, но они есть (надеюсь на помощь в модерировании тамошней ветки сообществом). ;-)
| | |
|
| |
| 2.11, solardiz (ok), 21:12, 16/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> patchset выпускать перестали. Странно.
Какой patchset? Если речь об -ow патчах к ядру, то они по-прежнему существуют лишь для ядер до 2.4 - для тех кто их все еще использует. К Owl это отношения уже не имеет: поддержку ветки 2.0-stable мы сейчас прекратили, а в новых ветках - ядра на основе RHEL5+OpenVZ. Тем не менее, я собираюсь выпустить 2.4.37.11-ow1, когда 2.4.37.11 выйдет (ожидаются более важные исправления, чем в .10). Появится тут:
http://www.openwall.com/linux/
(сейчас там раздается 2.4.37.9-ow1).
Что касается патча к ядру на основе RHEL5+OpenVZ из Owl, его при желании можно взять тут:
http://cvsweb.openwall.com/cgi/cvsweb.cgi/Owl/packages/kernel/
(а также в native.tar.gz или через anoncvs).
На данный момент, там есть некоторые security fix'ы из ядра для RHEL 5.6 и не только, еще не вошедшие в ядро, выпущенное OpenVZ. Т.е. мы чуточку впереди в этом плане. ;-)
Возвращаясь к проекту Owl, напоминаю что в нем основные усилия идут на userland, а не на ядро. Кстати, userland от Owl работает и со "сторонними" ядрами 2.6.
| | |
| |
| 3.13, Иван Иванович Иванов (?), 02:59, 17/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
Вы меня правильно поняли, но меня больше интересуют generic патчи для mainline, нежели патчи для RHEL.
RHEL5 ядро настолько старо, что обычно 75% уязвимостей его обходят.
| | |
| |
| 4.14, solardiz (ok), 04:10, 17/12/2010 [^] [^^] [^^^] [ответить] | +2 +/– | Нам было бы довольно странно и не очень разумно заниматься поддержкой патчей, ко... большой текст свёрнут, показать | | |
|
|
|
| |
| |
| 3.17, Жирный ублюдок DBA (?), 12:36, 17/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Спасибо за ответ!
Буквально за 3 минуты запустил контейнер под proxmox.
Буду смотреть и тестировать.
Спасибо Вам за проделанную работу!
| | |
|
|
| 1.18, neo_teosoft (?), 12:49, 17/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А как в системе стать root'ом?
завел пользователя, ввел в группу wheel,
но su root - bash: /bin/su: Permission denied
Или надо из под рута поставить sudo ?
| | |
| |
| 2.19, solardiz (ok), 13:19, 17/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> А как в системе стать root'ом?
Лучше - зайти root'ом с консоли или по ssh. Чтобы под root'ом делать только то, что реально этого требует, надо сделать два отдельных захода - root и не-root. su и sudo мы использовать не рекомендуем. Это распространенное заблуждение, что заход под пользователем и затем su как-то безопаснее, чем заход под root. Обычно верно обратное.
http://www.openwall.com/lists/owl-users/2004/10/20/6
> но su root - bash: /bin/su: Permission denied
По умолчанию, su доступен лишь для переключения от root'а под пользователя, но не обратно. Если очень хочется все же соблюсти абсурдную традицию, то можно сказать:
control su wheelonly
После этого su станет доступен группе wheel. Более этого, эта настройка будет сохраняться при обновлениях системы, так что делать ее заново после обновления не придется. Рекомендую также запустить просто "control" (выдаст список подобных настроек) и "man control".
> Или надо из под рута поставить sudo ?
Можно, но не советую (за очень редкими исключениями).
(Если совсем честно, то и для su я иногда делаю исключения - в частности, на desktop-системе с X - но Owl для этого не предназначена.)
| | |
| |
| 3.21, Michael Shigorin (ok), 19:20, 17/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Чтобы под root'ом делать только то, что реально этого требует, надо сделать
> два отдельных захода - root и не-root.
Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным. По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.
Вообще же да, критика иллюзии скорее справедлива.
| | |
| |
| 4.24, solardiz (ok), 19:54, 17/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным.
Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена" людей), которым даем uid 0 - т.е. они фактически root'ы. В Owl именно в связи с этим sulogin заменен на msulogin моей разработки - чтобы даже при загрузке в single user можно было выбрать под каким из root'ов зайти. ;-) Всё остальное работает с подобной схемой без проблем и так. (Кстати, мы предложили msulogin для включения в дистрибутивы Red Hat - соответствующий "баг" у них висит открытым уже много лет.)
> По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.
Было, но без подробностей.
| | |
| |
| 5.25, Michael Shigorin (ok), 21:07, 17/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида
> r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена"
> людей), которым даем uid 0 - т.е. они фактически root'ы.
А, вот как. Спасибо, toor помню, множественные логины с одинаковым uid знаю, но не состыковалось :)
> В Owl именно в связи с этим sulogin заменен на msulogin моей
> разработки - чтобы даже при загрузке в single user можно было
> выбрать под каким из root'ов зайти. ;-)
За что отдельное спасибо, в альте к нему привык :-)
Теперь понятно, почему так.
>> По крайней мере в окрестностях того треда в своё время не нашёл
>> обсуждения подобного use case и удивился.
> Было, но без подробностей.
Перешлю в sysadmins@altlinux, думаю, многим будет тоже интересно.
| | |
|
|
|
|
| 1.28, Аноним (-), 17:09, 20/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
"с повышенной безопасностью" если имеется в виду -"Переход на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями);" - это не аксиома. Если Вы перейдете на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями) это не означает повышение безопасности.
| | |
| |
| 2.29, Michael Shigorin (ok), 17:22, 20/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> это не означает повышение безопасности.
О, никак новый Шнайер залогиниться забыл за работой над очередным whitepaper'ом...
| | |
|
|
