В рамках празднования десятилетия проекта представлена (http://www.openwall.com/lists/announce/2010/12/15/1) версия 3.0 ориентированного на обеспечение высокой безопасности дистрибутива Openwall GNU/*/Linux (http://www.openwall.com/Owl/) (для краткости - Owl), разрабатываемого преимущественно в России. Owl - дистрибутив Linux для серверов - компактный, с повышенной безопасностью и встроенной поддержкой OpenVZ-виртуализации. Owl также хорошо подходит в качестве базовой системы для образов виртуальных машин и для встраиваемых систем, а один CD с Owl включает полную live-систему, устанавливаемые пакеты, инсталлятор, полные исходные тексты и даже систему сборки.
Особенности (http://www.openwall.com/Owl/CHANGES-3.0.shtml) Owl 3.0:
- Полное отсутствие SUID программ при установке по умолчанию. Вместо них есть небольшое количество SGID-программ, а доступ соответствующих групп не расширяется до root-доступа без дополнительной уязвимости;
- Добавление поддержки архитектуры x86-64;
-...URL: http://www.openwall.com/lists/announce/2010/12/15/1
Новость: http://www.opennet.me/opennews/art.shtml?num=29010
Странно, написал комментарий, а он куда то пропал: обновил страницу - а его нету О_о
Напишу еще раз: а в этом Openwall точно нету бэкдоров ?
> Напишу еще раз: а в этом Openwall точно нету бэкдоров ?Вероятность появления в Owl бэкдора намного ниже, чем в других Linux-дистрибутивах так как команда у проекта достаточно маленькая и сплоченная. Все кто участвует в разработке Owl имеют большой опыт и заработанный за годы упорной работы авторитет. Уж чьему коду я могу доверять, так это коду Solar Designer-а, который зарекомендовал себя как порядочный и принципиальный человек. Таким сколько не предлагай благ в обмен на подлость, они откажутся, так как чистая совесть и истина все равно дороже.
Весь свой и чужой код подвергается жесткому аудиту, в процессе которого не один десяток новых дыр был найден. Отчасти небольшое число пакетов в дистрибутиве связано как раз с тем, что пропускается только прошедший аудит код.
Гарантий что в той или иной системе нет бекдоров никто не даст. В нашей жизни только в морге дают 100 % гарантию.
Ну и чем тогда оно лучше OpenBSD ? В нем, так же как и в OpenBSD, могут быть трояны.
можно подумать что на компе ты хранишь тонны цп или секрет вечной молодости и все хотят у тебя его украсть. какая разница, есть там бэкдоры или нет? шанс что тебя поломают через такой бэкдор стремится к нулю.
вот именно, если надо то к тебе без всяких бэкдоров, а через самые фронтдоры придут, вынут лом и ты сам всё покажешь :)
>> В нем, так же как и в OpenBSD, могут быть трояны.И много Вы видели троянов в OpenBSD?
А так-то да, могут, конечно. :-)
А вот как бы (ВНЕЗАПНО!) в соседней новости.
Саша и коллеги -- поздравляю!
Спасибо за все поздравления!Кстати, вот обсуждение на Slashdot (при публикации модератором, URL изменился - тот, что я постил раньше, теперь соответствует черновому/архивному варианту новости):
http://linux.slashdot.org/story/10/12/17/203204/Openwall-Lin...
103 комментария (и их количество еще растет), из которых дельных мало и их найти сложно - они где-то там прячутся, но они есть (надеюсь на помощь в модерировании тамошней ветки сообществом). ;-)
patchset выпускать перестали. Странно.
> patchset выпускать перестали. Странно.Какой patchset? Если речь об -ow патчах к ядру, то они по-прежнему существуют лишь для ядер до 2.4 - для тех кто их все еще использует. К Owl это отношения уже не имеет: поддержку ветки 2.0-stable мы сейчас прекратили, а в новых ветках - ядра на основе RHEL5+OpenVZ. Тем не менее, я собираюсь выпустить 2.4.37.11-ow1, когда 2.4.37.11 выйдет (ожидаются более важные исправления, чем в .10). Появится тут:
http://www.openwall.com/linux/
(сейчас там раздается 2.4.37.9-ow1).
Что касается патча к ядру на основе RHEL5+OpenVZ из Owl, его при желании можно взять тут:
http://cvsweb.openwall.com/cgi/cvsweb.cgi/Owl/packages/kernel/
(а также в native.tar.gz или через anoncvs).
На данный момент, там есть некоторые security fix'ы из ядра для RHEL 5.6 и не только, еще не вошедшие в ядро, выпущенное OpenVZ. Т.е. мы чуточку впереди в этом плане. ;-)
Возвращаясь к проекту Owl, напоминаю что в нем основные усилия идут на userland, а не на ядро. Кстати, userland от Owl работает и со "сторонними" ядрами 2.6.
Вы меня правильно поняли, но меня больше интересуют generic патчи для mainline, нежели патчи для RHEL.RHEL5 ядро настолько старо, что обычно 75% уязвимостей его обходят.
> меня больше интересуют generic патчи для mainline, нежели патчи для RHEL.Нам было бы довольно странно и не очень разумно заниматься поддержкой патчей, которые мы сами бы не использовали (мы сейчас на новые системы ставим почти исключительно RHEL5/OpenVZ ядра - те, что раздаем в Owl). А причину почему mainline бы не использовали Вы назвали сами:
> RHEL5 ядро настолько старо, что обычно 75% уязвимостей его обходят.
Вот, и зачем нам в 4 раза больше уязвимостей? А если кто-то готов на это пойти, то значит у него приоритеты расставлены иначе и security hardening patch ему ни к чему, не так ли? RHEL5 же оказывается для нас оптимальным выбором - с точки зрения поддержки оборудования и нужных технологий там все есть, а с точки зрения уязвимостей это сравнительно старое/стабильное ядро.
С другой стороны, в отношении security hardening для mainline не все так плохо: Dan Rosenberg (Virtual Security Research) и Kees Cook (Ubuntu) недавно составили список изменений из -ow патчей и grsecurity, и еще некоторых "новых" изменений, которые, по их мнению (в целом, совпадающему с моим), должны войти в mainline. Теперь они пере-реализуют эти изменения в форме, пригодной для upstream (добавляют sysctl'ы и т.п.), и постят в LKML по одному, затем участвуют в дискуссиях, доводят до ума/консенсуса и т.д. Вообщем, делают то, что надо. Таким образом уже вошла поддержка dmesg_restrict sysctl и CONFIG_SECURITY_DMESG_RESTRICT, сразу back-port'нулась в ядро для RHEL 5.6, откуда back-port'нулась мной в ядро на основе RHEL 5.5 что мы даем в Owl 3.0. И это только начало. Вот такой круговорот. Зато всё у всех будет. :-) Вот план:
https://wiki.ubuntu.com/SecurityTeam/Roadmap/KernelHardening
Я тоже имел наглось кое-что туда добавить. ;-)
А, чуть не забыл, еще в нашей команде сейчас ведется работа над одной дополнительной возможностью ядра "для безопасности". Код изначально делаем для mainline, чтобы предложить его для включения upstream. А уж потом, независимо от результата (включат или нет), сделаем себе back-port.
Спасибо за ответы и вашу работу!Вы - очень интересный собеседник.
Молодцы! Поздравляю!
Отличная новость!
Скажите, а где можно вытянуть template с OWL для OpenVZ ?
> Скажите, а где можно вытянуть template с OWL для OpenVZ ?На любом из наших mirror'ов. Например:
ftp://ftp.ru.openwall.com/pub/Owl/3.0-release/vztemplate/
ftp://ftp.ru.openwall.com/pub/Owl/current/vztemplate/(пока что 3.0-release и current идентичны, но скоро они начнут отличаться, а еще появится 3.0-stable там же).
Давайте поднимем тему Owl 3.0 на Slashdot: http://slashdot.org/submission/1420798/Openwall-Linux-30-no-...
Спасибо за ответ!
Буквально за 3 минуты запустил контейнер под proxmox.
Буду смотреть и тестировать.Спасибо Вам за проделанную работу!
> Буквально за 3 минуты запустил контейнер под proxmox.Спасибо за отзыв. Надеюсь, будут еще. :-)
> Спасибо Вам за проделанную работу!
Пожалуйста! А как насчет поддержать новость на Slashdot (vote up, comment)? ;-)
http://slashdot.org/submission/1420798/Openwall-Linux-30-no-...
Хотелось бы получить критику и от Slashdot'овцев, несмотря на их жестокость. ;-)
А как в системе стать root'ом?
завел пользователя, ввел в группу wheel,
но su root - bash: /bin/su: Permission denied
Или надо из под рута поставить sudo ?
> А как в системе стать root'ом?Лучше - зайти root'ом с консоли или по ssh. Чтобы под root'ом делать только то, что реально этого требует, надо сделать два отдельных захода - root и не-root. su и sudo мы использовать не рекомендуем. Это распространенное заблуждение, что заход под пользователем и затем su как-то безопаснее, чем заход под root. Обычно верно обратное.
http://www.openwall.com/lists/owl-users/2004/10/20/6
> но su root - bash: /bin/su: Permission denied
По умолчанию, su доступен лишь для переключения от root'а под пользователя, но не обратно. Если очень хочется все же соблюсти абсурдную традицию, то можно сказать:
control su wheelonly
После этого su станет доступен группе wheel. Более этого, эта настройка будет сохраняться при обновлениях системы, так что делать ее заново после обновления не придется. Рекомендую также запустить просто "control" (выдаст список подобных настроек) и "man control".
> Или надо из под рута поставить sudo ?
Можно, но не советую (за очень редкими исключениями).
(Если совсем честно, то и для su я иногда делаю исключения - в частности, на desktop-системе с X - но Owl для этого не предназначена.)
> Чтобы под root'ом делать только то, что реально этого требует, надо сделать
> два отдельных захода - root и не-root.Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным. По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.
Вообще же да, критика иллюзии скорее справедлива.
> Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным.Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена" людей), которым даем uid 0 - т.е. они фактически root'ы. В Owl именно в связи с этим sulogin заменен на msulogin моей разработки - чтобы даже при загрузке в single user можно было выбрать под каким из root'ов зайти. ;-) Всё остальное работает с подобной схемой без проблем и так. (Кстати, мы предложили msulogin для включения в дистрибутивы Red Hat - соответствующий "баг" у них висит открытым уже много лет.)
> По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.
Было, но без подробностей.
> Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида
> r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена"
> людей), которым даем uid 0 - т.е. они фактически root'ы.А, вот как. Спасибо, toor помню, множественные логины с одинаковым uid знаю, но не состыковалось :)
> В Owl именно в связи с этим sulogin заменен на msulogin моей
> разработки - чтобы даже при загрузке в single user можно было
> выбрать под каким из root'ов зайти. ;-)За что отдельное спасибо, в альте к нему привык :-)
Теперь понятно, почему так.>> По крайней мере в окрестностях того треда в своё время не нашёл
>> обсуждения подобного use case и удивился.
> Было, но без подробностей.Перешлю в sysadmins@altlinux, думаю, многим будет тоже интересно.
"с повышенной безопасностью" если имеется в виду -"Переход на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями);" - это не аксиома. Если Вы перейдете на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями) это не означает повышение безопасности.
> это не означает повышение безопасности.О, никак новый Шнайер залогиниться забыл за работой над очередным whitepaper'ом...