Леннарт Поттеринг (Lennart Poettering) представил (http://lists.freedesktop.org/archives/systemd-devel/2012-Aug...) релиз системного менеджера systemd v189 (http://www.freedesktop.org/software/systemd/). В новой версии добавлена поддержка чтения нового структурированного формата логов ядра Linux через интерфейс /dev/kmsg. Интегрирован код механизма FSS (Forward Secure Sealing), позволяющего (http://www.opennet.me/opennews/art.shtml?num=34630) гарантировать неизменность логов, создаваемых подсистемой Journal (для проверки целостности лога следует использовать "journalctl --verify"). Для сервисов представлены две новые настройки RestartPreventExitStatus и SuccessExitStatus для управления перезапуском сервисов в зависимости от кода возврата.URL: http://lists.freedesktop.org/archives/systemd-devel/2012-Aug...
Новость: http://www.opennet.me/opennews/art.shtml?num=34646
189 ?
Гугл с хромом нервно курит в сторонке. Надо же - так лихо обскакали на повороте!
"Гугл с хромом" интересно...
видимо все же "Гугл с его Хромом"
It's over 9000 !!!!!111
> It's over 9000 !!!!!111Осталось всего 8812 версий осилить и они это сделают :). С учетом взятого темпа я наверное даже доживу до этого момента :D
Да вы надоели. less вон 444-й версии.~$ less --version
less 444
Copyright (C) 1984-2009 Mark Nudelman
уже 189 ?
systemd слит с udev в один проект.
systemd слили вместе с udev. Так правильнее.
И номера версий сложили?
помножили)
> И номера версий сложили?Нет, просто взяли нумерацию udev. Иначе было бы на 44 больше.
systemd влили в udev.
Это по числу пакетов которые SystemD уже зажевал, я извиняюсь, интегрировал в себя.
ну удев мажорится примерно каждые 2,5-3 недели.. ЕМНИП
> системного менеджераНу наконец-то его перестали называть системой инициализации и заменой иниту.
>> системного менеджера
> Ну наконец-то его перестали называть системой инициализации и заменой иниту.ох жаль что это поняли пока не все.
Кажись я тоже из тех непонятливых. Почему это не система инициализации ос? Ведь init=/bin/systemd получает управление сразу-же после инициализации ядра, после чего начинает активировать все подсистемы: монтировать разделы, выставлять системное время, локаль, подгружать модули, запускать программы из автозагрузки, запускать тту*... это сходу назвал что вспомнил. Почему же тогда это не система инициализации?
Это _не только_ система инициализации.
> Это _не только_ система инициализации.Походу это замаскированная под пенек операционка :)
> Походу это замаскированная под пенек операционка :)Ничего, скоро снимут маскировку. Разработчики ядра собираются сформировать GNU/Linux core system на основе util-linux, coreutils, systemd и glibc.
Верификация логов - годное дело. А то некоторые умники и логи подчищать научились. Хитрые школоло...
да круто, круто... :-)...правда теперь этиже умники (которые ранее научились подчищать логи) -- теперь научатся модифицировать (через rootkit) systemd таким образои чтобы он говорил будто проверка коректна :-)
> ...правда теперь этиже умники (которые ранее научились подчищать логи) -- теперь научатся модифицировать (через rootkit) systemd таким образои чтобы он говорил будто проверка коректна :-)Для этого надо взломать также и ту систему, на которой логи будут проверяться. А ну-ка ломаните мне заранее LiveCD.
или сгенерировать подменную запись на той системе которая собирает.
>Верификация логов - годное дело. А то некоторые умники и логи подчищать научились.Что даст верификация логов если я удалю лог?)) Удалю и ищи свищи где была уязвимость и как взломали серв)
>>Верификация логов - годное дело. А то некоторые умники и логи подчищать научились.
> Что даст верификация логов если я удалю лог?)) Удалю и ищи свищи
> где была уязвимость и как взломали серв)Это будет доказательством взлома. А вот удаление или изменение части лога, что-бы всё выглядело как обычно - это признак более высогокго мастерства.
Вы кому эти доказательства предъявлять-то собираетесь? Взломщики задефейсили ваш сайт, выложили пароли ваших пользователей в свободный доступ, удалили логи, и смылись. А вы будете искать "доказательства взлома"... :)
> Вы кому эти доказательства предъявлять-то собираетесь? Взломщики задефейсили ваш сайт,
> выложили пароли ваших пользователей в свободный доступ, удалили логи, и смылись.
> А вы будете искать "доказательства взлома"... :)Это хорошо, если они сразу проявят себя. Хуже, если они внедрят зловреда и затаятся. А вы не будете даже знать об этом. Вот это будет неприятный сюрприз.
Согласен, но делать их ради этого бинарными, по-моему, перебор.
> Согласен, но делать их ради этого бинарными, по-моему, перебор.Бинарными они сделаны не только ради этого.
Основная причина - значительное увеличение скорости поиска.
А можно ссылочку? А то непонятно: раньше брали grep и искали, а теперь расшифровываем бинарный блоб, берём grep и ищем - и это почему-то быстрее... :)
Раньше они тащились от нового формата логов, мол там будет скуль, мы всё запросом классным выдернем. Теперь то вопли поутихли, только рассказы про бинарный формат остались. Про скуль они уже комментить не хотят http://www.advsoft.ru/support/articles/pochemu-w3c-luchshe-m...
> Раньше они тащились от нового формата логов, мол там будет скуль,А что мешает это включить в syslog-ng?
> А можно ссылочку? А то непонятно: раньше брали grep и искали, а
> теперь расшифровываем бинарный блоб, берём grep и ищем - и это
> почему-то быстрее... :)А можно ссылочку на то, что SQL-запросы по базе отрабатываются быстрее, чем греп по текстовому файлу с тем же объемом данных?
Обычно, у базы есть структура и иногда даже индексы. По идее, это неплохо помогает в большинстве случаев.P.S. Впрочем, все от конкретной реализации зависит.
> А можно ссылочку на то, что SQL-запросы по базе отрабатываются быстрее, чем греп по текстовому файлу с тем же объемом данных?Hint: Индексы спасут мир. grep по файлу имеет сложность O(n), где n - количество байт в файле, а, скажем, поиск по индексу на основе btree - O(log(n)).
P.S. Если что, я тоже против бинарных логов.
А если сможете задать фильтры для имени процесса / времени / ... (что возможно и с текстовыми логами, но без выигрыша в скорости), то должно быть еще быстрее, намного.
С другой стороны, интересно что будет в данном случае, если часть лога окажется повреждена.
А вон ссылку наверху привели, там другие данные. Кстати, индексы у нас "бесплатны"?
> Вы кому эти доказательства предъявлять-то собираетесь? Взломщики задефейсили ваш сайт,
> выложили пароли ваших пользователей в свободный доступ, удалили логи, и смылись.
> А вы будете искать "доказательства взлома"... :)В этом случае злоумышленники сами позаботились о доказательствах. Довольно простой случай.
Гораздо сложнее, когда они стараются не проявлять себя явным образом.
> Это будет доказательством взлома.Что это тебе даст?)) Как это скажется на эффективности твоей работы? Будешь переустанавливать систему?))
> А вот удаление или изменение части лога, что-бы
> всё выглядело как обычно - это признак более высогокго мастерства.Главное - результат взлома. Скопированные пароли, скомпрометированные пользователи, ненадёжный сайт, а ты с своим "это будет доказательство! пыщ-пыщ!!!"))
> Что это тебе даст?)) Как это скажется на эффективности твоей работы? Будешь
> переустанавливать систему?))Зачем? Вначале нужно проанализировать изменения, внесённые злоумышленником в систему. Лучше всего работать с образом, на виртуалке. Определить, как был проведён взлом, дыры в каком ПО использовались. Затем обратить внимание на изменённые бинари, сравнивая их с орининальными той же версии на другой виртуалке. Если хеш бинарей не совпадает, у вас появились новые бинарники или скрипты - это проблемма. Поиск закладок в модулях ядра, которые могут скрыть от вас деятельность зловредов. И только когда все программы гарантированно проверенны, все конфиги проверены и исправленны, и ни один зловре не обнаружен, мы на виртуалке же проводим апгрейд ПО, латая дыры, меняя некоторое ПО на аналогичное, но от другого производителя при необходимости. А со злоумышленниками стоит поиграть в медовую ловушку, дав им на некоторое время после обнаружения взлома ещё немного порезвиться с поломанной системой,но уже на виртуалке. И делая снэпшоты системы, которые сохранят для нас состояние машины в момент взлома. Если получится определить, кто зловредничает и поиметь его самого - вообще хорошо будет. Взломщики обычно очень тупые и неаккуратные люди, хороший админ их натянет по любому. Главное, немного хитрости и терпения.
> Главное - результат взлома. Скопированные пароли, скомпрометированные пользователи,
> ненадёжный сайт, а ты с своим "это будет доказательство! пыщ-пыщ!!!"))Вы знаете, что успешный взлом, это взлом о котором никто не узнал? А взломщик тихо поимел выгоду от взлома. И возможно не один раз. Этот вид взлома гораздо опаснее, чем детские приколы в стиле "выложил пароли" и "померился пипиской с другиим школоло". Чем больше надёжных средств мониторинга у админа, тем скорее вашего хакера-недоучку поймают и жестоко накажут. Жизнь - это не игра, за такие вещи отвечать нужно. Взлом - это гнусное преступление. Если ваш сайт взломали и это сразу стало изветсно, это же очень хорошо. Вы быстро проводите расследование, всесторонний аудит системы, меняете бинарники на чистые, ядро на новое, конфиги на ваши, закрываете дыры и обновляете ПО. Возможно меняете дистрибутив, и основной набор используемого ПО(это уже долгая история), и всё. А вот есл ваш сайт(или сервер организации) тихо имеют на протяжении нескольких лет, а вы ничего не видите, это катастрофа.
> Зачем? Вначале нужно проанализировать изменения, внесённые злоумышленником в систему. Лучше всего работать с образом, на виртуалке. Определить, как был проведён взлом, дыры в каком ПО использовались.Уверен что журналд тебе помощник в этом прям в стопицсот раз круче старого?
> Затем обратить внимание на изменённые бинари, сравнивая их с орининальными той же версии на другой виртуалке. Если хеш бинарей не совпадает, у вас появились новые бинарники или скрипты - это проблемма.
Подписанные пакеты надо ставить и юзать проверку пакетного менеджера.
> И только когда все программы гарантированно проверенны, все конфиги проверены и исправленны, и ни один зловре не обнаружен, мы на виртуалке же проводим апгрейд ПО, латая дыры, меняя некоторое ПО на аналогичное, но от другого производителя при необходимости.
Какое аналогичное ПО от другого производителя? Есть стандартные репы производителя подписанные ключами. Ставить из других мест ССЗБ.
> А со злоумышленниками стоит поиграть в медовую ловушку, дав им на некоторое время после обнаружения взлома ещё немного порезвиться с поломанной системой,но уже на виртуалке.
Нормальные люди резвятся ставя для этой цели хонипоты - специально. А не юзают боевую систему для другого предназначенную.
> Чем больше надёжных средств мониторинга у админа, тем скорее вашего хакера-недоучку поймают и жестоко накажут.
Что-нибудь в стиле осек и скидывание логов на удалённый сервак не лучше этой левой белиберды?
>> Что это тебе даст?)) Как это скажется на эффективности твоей работы? Будешь
>> переустанавливать систему?))
> Зачем? Вначале нужно проанализировать изменения, внесённые злоумышленником в систему. [skipped] бла-бла-бла.И тут конечно же стёртые логи - как никогда кстати. Фича номера! Фича детектор! Логов нету - значит взломали. А зачем это вообще нужно - когда есть другие инструменты детекторы - хз. Напихаем всего, и самого левого в systemd, ага.
>> Главное - результат взлома. Скопированные пароли, скомпрометированные пользователи,
>> ненадёжный сайт, а ты с своим "это будет доказательство! пыщ-пыщ!!!"))
> Вы знаете, что успешный взлом, это взлом о котором никто не узнал?Случись у тебя подобное - сидел бы ты с умным видом, лялякая что это всего лишь пиписькометр, это не успешный взлом?)))
P.S. Остальное - словоблудие.
Да, вот пример для сравнения:
Приходишь домой как обычно каждый день. А через месяц понимаешь, что дома когда-то кто-то побывал и вещей-то явно не хватает. Или:
Приходишь домой в один день и видишь — дверь взломана, всё перерыто. Можно раскрыть по горячим следам.
По каким горячим следам? Все логи удалены)ИМХО, только сохранение логов на удалённую тачку решает проблему с неизменностью и целостностностью логов.
В systemd есть неплохие идеи, однако, прибитый к нему гвоздями журнал - это уже явное обострение NIH-синдрома и перегиб.
> ИМХО, только сохранение логов на удалённую тачку решает проблему с неизменностью и целостностностью логов.целостность логов проверяется и локально - если лог удален, значит целостность нарушена. =)))
логирование на удаленную машину и на локальную выполняют разные функции. для локальной задача максимум выявить вторжение. если цель еще и логи сохранить после взлома, то это в агрегации логов на централизованный сервер. что кстати тоже сделано или будет сделано в системД.
> целостность логов проверяется и локально - если лог удален, значит целостность нарушена. =)))Так это заметный дестрой, сразу вызовет панику у админов. А вот если хакерь только вытрет записи о себе? Это не слишком заметно. Вот от этого криптография и защищает - вытереть записи задним числом становится проблематично. Что есть гуд (ну кроме случая когда вы - хакер).
> По каким горячим следам? Все логи удалены)удалены только ссылки на файлы, а физически биты все еще на месте. даже затирка поверх не всегда спасает.
> ИМХО, только сохранение логов на удалённую тачку решает проблему с неизменностью и
> целостностностью логов.Так, как это сделано в старом syslog - не решает. Там можно так загадить лог, что никто и никогда не разберется, как было взломано. Авторизации записей-то нет.
> так загадить лог, что никто и никогда не разберется, как было
> взломано. Авторизации записей-то нет.Аргумент прикольный. "Я не осилил grep" ;)
> Аргумент прикольный. "Я не осилил grep" ;)А как grep может помочь, если авторизации нет? Можно нафлудить миллион записей от имени взломанного процесса, и выделить среди них настоящие никакой греп не сможет.
> Так, как это сделано в старом syslog - не решает. Там можно
> так загадить лог, что никто и никогда не разберется, как было
> взломано. Авторизации записей-то нет.И эти люди рассказывают про преимущества нового журнала и ярастно друг-друга плюсуют по кругу.
> И эти люди рассказывают про преимущества нового журналаРазумеется. Но технически технически безграмотным виндузятникам вроде тебя этих преимуществ не понять =)
грамотный про таймстемп не слышал и не сможет выделить когда именно началось зафлуживание?
> грамотный про таймстемп не слышал и не сможет выделить когда именно началось зафлуживание?Грамотный юникс-админ ответит, что в общем случае определить это нельзя.
Но безграмотный виндузятник расскажет, что с помощью простого грепа можно сделать все, что угодно, включая захват мира.
то есть уже нет зафлуживания логов?
> Да, вот пример для сравнения:
> Приходишь домой как обычно каждый день. А через месяц понимаешь, что дома
> когда-то кто-то побывал и вещей-то явно не хватает. Или:
> Приходишь домой в один день и видишь — дверь взломана, всё перерыто.
> Можно раскрыть по горячим следам.Нормальные люди держат под охраной дом, если им есть что терять. Теперь пример для сравнения: можно было спалить вторжение с помощью СОВ, сейчас же придуман классный костыль, который создаёт иллюзию защищённости и «бздительности», а по факту - кукиш с дёгтем.
> который создаёт иллюзию защищённости и «бздительности»,
> а по факту - кукиш с дёгтем.Бро, все в этом мире илююзия. Настоящей защищенностью обладает только выключенный комп в сейфе. Да и то - сейфы бывают взалмывают.
> Бро, все в этом мире илююзия.Согласен) И незачем накручивать лишние сущности, вроде этой тогда ;)
>Настоящей защищенностью обладает только выключенный комп
> в сейфе. Да и то - сейфы бывают взалмывают.Человека взламывают... а компьютеры то...
systemd и udev что, гонятся за версиями? :)
так вот кто фаерфокс и хром заразил
> systemd и udev что, гонятся за версиями? :)
> так вот кто фаерфокс и хром заразилОни не гонятся, они уже давно всех обогнали [на пути в ад] и держат крейсерскую скорость.
http://www.greenwoodsoftware.com/less/
Хотел xterm привести в пример, но less с лёгкостью переплюнул его
Сколько лет less, и сколько - поттероподелию?
> lessНикакие systemd и udev не догонят.
> systemd и udev что, гонятся за версиями? :)
> так вот кто фаерфокс и хром заразилпри специфике разработки удева когда нет минорных версий(или мажорных как смотреть) разбивать точкой не имеет смысла. а релиз надо делать офтен.
Приятный отход от традиционной линуксовой нумерации типа 0.0.1.234.567.8
В линуксе в плане нумераций версий есть только одна традиция - не соблюдать никаких традиций.
> Приятный отход от традиционной линуксовой нумерации типа 0.0.1.234.567.8Толсто же
Хром и ФФ нервно курят в сторонке.
Поттеринг человек? Всё выпускает и выпускает во всю.
Хром ? Лиса ? Давайте до свидания, big boys are ruling here.
systemd 189 - звучит как название музыкального коллектива.
> systemd 189 - звучит как название музыкального коллектива.system of a d?
blink 182
d - это от doomsday? :)
Я надеюсь initscripts не отменят совсем, что их уже использовать нельзя будет...
> Я надеюсь initscripts не отменят совсем, что их уже использовать нельзя будет...Просто перестанут поддерживать совместимость с ними в новых программах.
>> Я надеюсь initscripts не отменят совсем, что их уже использовать нельзя будет...
> Просто перестанут поддерживать совместимость с ними в новых программах.Лол но как это можно сделать? инит он же даже в патчах не нуждается, а башскрипты написать задача для студентов.
> башскрипты написать задача для студентов.Вы думаете, что написание unit-файла для systemd более сложная задача?
> Вы думаете, что написание unit-файла для systemd более сложная задача?С написанием unit-файла справится даже не-программист, в отличие от init-скриптов, для работы с которыми нужно быть программистом.
двоечка за домашнее задание. повтор ссылки из прошлого обсуждения:
http://www.linux.org.ru/forum/talks/8127329#comment-8127509
и дальше по комментам.
> Лол но как это можно сделать? инит он же даже в патчах
> не нуждается, а башскрипты написать задача для студентов.Ну вот теперь идея sysvinit будет доведена до своего логического завершения - раньше свои init-скрипты писались независимо каждым дистрибутивом, а теперь будут писаться независимо каждым пользователем (которому это нужно, разумеется).
Дебиан не позволит этому случиться. http://www.opennet.me/opennews/art.shtml?num=34623
> Я надеюсь initscripts не отменят совсем, что их уже использовать нельзя будет...а зачем они вам при наличии unit-ов и systemd?
Чтобы работало.
> Чтобы работало.Это понятно - чтобы работало _хуже_.
Непонятно - зачем делать так, чтобы работало хуже? Разработчики дистров переходят на systemd, чтобы работало лучше, и только горстка безумных маргиналов пытается везде вкорячить старые кривые костыли. Зачем?
>> Чтобы работало.
> Разработчики дистров переходят на systemdКонкретные разработчики, конкретных "дистров". Т.е. не все и не везде.
Ни один серьезный дистрибутив (вот в RHEL7 грозятся разве включить) это пока не затронуло. Как опцию воткнули в Debian (тоже пока не в stable) - жрите ваш кактус, тов. любители.
> чтобы работало лучше
Это спорный вопрос. О каком "лучше" может идти речь, когда даже нормальная обратная совместимость так и не обеспечена.
Чтобы сохранить нормальность системы.
> Чтобы сохранить нормальность системы.s/нормальность/древность/
Какой смысл в этой новости? Про FSS новость уже была, а остальное - рядовые изменения, которые добавляются постоянно и ничем особенным не выделяются.
Тема systemd и Поттеринга является генератором флуда.
Флудят люди. Люди умеют всасывать рекламу! Реклама - Бабло!Больше флуда - больше бабла у аминистрации опеннет. :)
> Тема systemd и Поттеринга является генератором флуда.
> Флудят люди. Люди умеют всасывать рекламу! Реклама - Бабло!
> Больше флуда - больше бабла у аминистрации опеннет. :)По такой логике, надо вбрасывать новости исключительно про убунту. Куда более флудогонная тема =)
а можно просто удерживать себя и не вставлять бессмысленные комментарии... Блин, не удержался!
> По такой логике, надо вбрасывать новости исключительно про убунту.
> Куда более флудогонная тема =)Ты знал - http://www.opennet.me/opennews/art.shtml?num=34652
> Больше флуда - больше бабла у аминистрации опеннет. :)Это как? :)
FAQ SEO
Урра товарищи!!!!!!!