URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 104012
[ Назад ]

Исходное сообщение
"Обновление сборки Openwall GNU/*/Linux 3.1-stable "

Отправлено opennews , 02-Авг-15 20:09 
Представлено (http://www.openwall.com/lists/announce/2015/08/02/1) обновление iso-образов (ftp://mirrors.kernel.org/openwall/Owl/3.1-stable/iso/) и шаблонов контейнеров OpenVZ стабильной ветки Openwall GNU/*/Linux (Owl) 3.1-stable (http://www.openwall.com/Owl/ru/). По сравнению с январскими сборками, в состав нового выпуска включены накопившиеся (http://www.openwall.com/Owl/CHANGES-3.1-stable.shtml) обновления с устранением уязвимостей, в том числе исправлены уязвимости glibc GHOST, OpenSSL FREAK, BIND TKEY и проблемы, позволяющие поднять привилегии (http://www.openwall.com/lists/oss-security/2015/06/06/2) в системе и выйти (http://www.openwall.com/lists/oss-security/2015/04/03/7) за пределы контейнера OpenVZ.

Owl представляет собой компактный дистрибутив GNU/Linux, ориентированный на обеспечение высокой безопасности, который  может использоваться как для создания высокозащищённых   серверных систем, так и для создания базовой начинки изолированных контейнеров и организации работы контейнерной виртуализации на основе OpenVZ. В дистрибутиве по умолчанию применяются (http://www.openwall.com/Owl/ru/CONCEPTS.shtml) передовые методы обеспечения защиты, используются наиболее безопасные настройки (например, по умолчанию не поставляется программ с флагом suid) и поставляются только пакеты, заслуживающие доверия и прошедшие аудит исходного кода. Кроме готовых бинарных пакетов, предоставляются удобные средства для пересборки пакетов из исходных текстов (make buildworld (http://www.openwall.com/Owl/ru/BUILD.shtml)) и формирования iso-образа или начинки виртуального окружения.


URL: http://www.openwall.com/lists/announce/2015/08/02/1
Новость: http://www.opennet.me/opennews/art.shtml?num=42713


Содержание

Сообщения в этом обсуждении
"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено Аноним , 02-Авг-15 20:09 
Owl 3.0 вышла 14 декабря 2010 года. Эта версия содержит ядро Linux 2.6 / OpenVZ на основе используемого в RHEL 5.5 и в ней "из коробки" поддерживается виртуализация на уровне OpenVZ-контейнеров. В Owl 3.1-stable мы перешли на Linux/OpenVZ ядра на основе используемых в RHEL 5.11.

"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено Анончег , 03-Авг-15 00:09 
Новость состоит всего из двух параграфов, да и те взаимоисключающие.


> ... исправлены уязвимости glibc GHOST, OpenSSL FREAK, BIND TKEY и проблемы, позволяющие поднять привилегии в системе и выйти за пределы контейнера OpenVZ.
> Owl представляет собой ... дистрибутив GNU/Linux, ориентированный на обеспечение высокой безопасности. ... В дистрибутиве по умолчанию применяются передовые методы обеспечения защиты ... и поставляются только пакеты, заслуживающие доверия и прошедшие аудит исходного кода.


"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено solardiz , 03-Авг-15 04:54 
> Новость состоит всего из двух параграфов, да и те взаимоисключающие.

В своё время, взяв за основу ядро Linux и в целом типичный набор библиотек (пусть и с нашими hardening-патчами) ради обеспечения совместимости, мы пошли на то, что серьезные уязвимости будут (несмотря на частичные аудиты кода, как это описано в CONCEPTS) и временами они будут находиться и исправляться. В то же время, за прошедшие с начала проекта ~15 лет, многие уязвимости аналогичных компонентов других дистрибутивов Linux не затрагивали Owl. Если интересно, вот мои соображения об (умеренной) пользе проекта и возможном будущем: http://www.openwall.com/lists/owl-users/2014/12/30/1


"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено Аноним , 03-Авг-15 09:17 
Спасибо вам за вашу работу и за то, что поддерживаете контакт с пользователями, в том числе и через этот сайт.

"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено Аноним , 03-Авг-15 03:43 
а какой дистр самый передовой?

"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено Аноним , 03-Авг-15 04:33 
Ubuntu

"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено SysA , 03-Авг-15 12:19 
> а какой дистр самый передовой?

Gentoo!


"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено Michael Shigorin , 03-Авг-15 12:28 
> а какой дистр самый передовой?

Федора -- в плохом смысле слова.


"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено Аноним , 03-Авг-15 18:23 
А как же альт?

"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено Michael Shigorin , 03-Авг-15 23:39 
> А как же альт?

Альт был весьма передовым где-то до 2004 включительно, некоторый рывок был сделан в 2005, 2007 и немалый в 2009 (см. тж. статистику коммитов на openhub); а сейчас надо собираться с силами к следующему рывку.

Тем не менее задел, созданный в начале нулевых в т.ч. совместно с Owl, во многом помогает до сих пор:

http://docs.altlinux.org/manpages/tcb.5.html
http://altlinux.org/control
http://packages.altlinux.org/ru/4.0/srpms/glibc/patches
http://www.altlinux.org/Features/ChrootedServices


"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено Китайская пельмешка , 11-Авг-15 05:42 
Debian, от него произошло много дистрибутивов (целая ветка). Там самая большая база репозиториев. Такой серьезный, стабильный Линь)).

"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено GenryU , 03-Авг-15 12:32 
Ха!  
Убунту очень "передовой" дистр "не линукса" !
Сначала, якобы, делает какую-то супер-новую фитчу, а потом тихо заменяет её разработкой из Рэд-Хэт Федоры.

"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено АнонимХ , 04-Авг-15 10:58 
В какой ситуации его можно применить? Кто и где его применяет у себя?

"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено max , 04-Авг-15 13:22 
думаю на нем развернуть багзиллу. все необходимое есть, ничего лишнего - имхо, самый подходящий выбор.

"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Отправлено solardiz , 05-Авг-15 09:30 
> В какой ситуации его можно применить?

Учитывая уже не-свежие upstream версии большинства компонентов (хотя и с исправлениями уязвимостей) и очень ограниченный набор пакетов, на данный момент рекомендованные применения ограничены. Но они есть:

Для OpenVZ хост-системы с контейнерами с не самыми свежими другими дистрибутивами. Из наиболее актуальных, это CentOS 6.x (работает без проблем, несмотря на использование нами ядра на основе RHEL5) и Owl же.

Для OpenVZ-контейнеров с чем-то простым, что не сложно собрать и поставить поверх базовой системы Owl.

Для shared-хостинга (лучше тоже еще и внутри контейнера), где оказывается наиболее полезной повышенная "локальная" безопасность Owl userland (отсутствие SUID'ников, но с сохранением работоспособности таких команд как passwd и crontab). При этом веб-сервер, PHP и остальное специфичное для веб-хостинга придется собрать и поставить на Owl отдельно. У нас есть такие наработки - работают в нескольких компаниях уже много лет. К сожалению, мы не довели их до вида, пригодного для релиза на широкую публику.

Для обучения и различных экспериментов, учитывая легкость пересборки системы.

> Кто и где его применяет у себя?

Мы сами и применяем, в том числе у клиентов.

На хостах и контейнерах с Owl построен сервис WebEnabled: http://webenabled.com

Как мы недавно узнали, RPM5 maintainer использует Owl для тестирования RPM5 ("CI including coverage tests installing into a chroot", благодаря тому что наши пакеты "sane and sober"), хотя в Owl мы используем RPM4 с патчами.

Owl иногда ставят в VPS на основе KVM, чтобы получить внутри одного такого VPS (и за ту же цену) сразу много OpenVZ-контейнеров.

В качестве извращения, лично я использую Owl (+ еще многое) даже на десктопе и лаптопе. Свежий Firefox запускается в контейнере с CentOS 6. Но это из области eating your own dog food, а также ради прозрачности используемой мной системы для меня же.

Так что немного применений еще осталось, но в целом Owl уже долгое время находится в состоянии длительной поддержки почти без нового развития, и это обновление тому пример.