Специалист по безопасности из университета Carnegie Mellon и его команда обнаружили (http://lists.debian.org/debian-devel/2013/06/msg00720.html) условия возникновения тысяч крахов исполняемых файлов из дистрибутива Debian Wheezy. Ошибки были выявлены с помощью автоматизированной системы для поиска ошибок Mayhem (http://users.ece.cmu.edu/~arebert/papers/mayhem-oakland-12.pdf) (PDF), которая разрабатывалась в одной из лабораторий учреждения последние несколько лет.
Полный список программ, в которых были найдены проблемы можно посмотреть здесь (http://forallsecure.com/reports/dd-list.txt). Из наиболее известных можно отметить xml2, fvwm, xorg-server, vnc4, amule, attr, freetds, rss-glx, cairo, udftools, checkpolicy, db, strigi, dhcpd, gutenprint, faad2, exim4, tiff, fluxbox, mgetty, gcc, hal, groff, hunspell, squid, nasm.
Для того чтобы не наводнять систему трекинга ошибок Debian новыми записями, вместо заведения более 1200 отчётов об ошибках исследователи направили разработчикам Debiab данные об ошибках в форме сводного отчёта (http://forallsecure.com/reports/gcov-4.6-report.tar.bz2). Как правило, проблемы вызваны переполнением стека или ошибками форматирования строки. Указанные проблемы в своей массе не являются критическими уязвимостями, но могут помочь атакующему провести более успешную и быструю атаку на удалённый компьютер. Например, проведённая ещё до эксперимента с Debian ручная проверка 29 крахов, выявленных с использованием Mayhem, показала, что во всех из данных программ присутствуют уязвимости, для которых может быть разработан эксплоит (среди программ, в которых подтверждены уязвимости rsync, aspell, freeradius, ghostscript, iwconfig и т.п.).URL: http://lists.debian.org/debian-devel/2013/06/msg00720.html
Новость: http://www.opennet.me/opennews/art.shtml?num=37302
Ну вот, работки прибавилось дебианщикам, ожидается огромный мега патч.. Пора тренировать пальцы на "aptitude full-upgrade".Интересно, а другие дистрибутивы так же просканировать мега-утилитой?
Почти в каждой версии находится сакая толпа. Правда чаще до релиза.
Я чёй-то не понял!Из багрепорта на GCC
-- System Information:
Debian Release: jessie/sid
APT prefers unstable
APT policy: (500, 'unstable')
Architecture: i386 (i686)Kernel: Linux 3.9-1-686-pae (SMP w/1 CPU core)
Locale: LANG=C, LC_CTYPE=C (charmap=ANSI_X3.4-1968)
Shell: /bin/sh linked to /bin/dash---
В Debian вроде ядро 3.2.xx
> Я чёй-то не понял!
> Debian Release: jessie/sidВот такой хреновый "Debian Wheezy".
> Kernel: Linux 3.9-1-686-pae (SMP w/1 CPU core)
> В Debian вроде ядро 3.2.xxНу, как бы тестируют-то они не ядро. А 3.9[.6] есть в wheezy-backports. Я себе и в squeeze собрал.
jessie/sid <> wheezy/stable?
пора - это ты оптимист. пора настанет лет через 5. должно настояться, выдержаться и созреть.
> пора - это ты оптимист. пора настанет лет через 5. должно настояться,
> выдержаться и созреть.Сгнить и разложиться - тогда наступит настоящая зрелость. Как мясо для бурого медведя, верно?
Ребята не освоили bug-report систему? мммм...ок.
То ли в Омске не принято читать внимательно, то ли принято гадить мегабагрепортами
другой омич поднимал-поднимал авторитет омичей то стишками то шутками-прибаутками. а ты хочешь всю работу его перечеркнуть?
Да, я такой. У нас люди с разными точками зрения.
Хотелось бы проанализировать, может ли какой-либо статический анализатор кода предотвратить появление подобных ошибок. Было бы интересно.
Думаю, тьебе с радостью продадут этот анализатор после того как, мир на примере данной новости, поймет что таки тесты маст хэв.ПС: больше пакетов - больше уязвимостей. Дебиан - реш ето =))
> ПС: больше пакетов - больше уязвимостей. Дебиан - реш ето =))Блестящая мысль! Предлагаю в следующий раз вместо обновления антивирусных баз выкинуть системник в окно. Это идеальная защита от вирусов.
Что блестящая мысль? Лучше 20 тысяч полуработающих программ или 2 тысячи работающих? Там в репозитории зачастую вообще не работающее ПО валяется и исправлять его никто не будет т.к не критическая уязвимость.
"Лучше меньше да лучше"
> Что блестящая мысль? Лучше 20 тысяч полуработающих программ или 2 тысячи работающих?
> Там в репозитории зачастую вообще не работающее ПО валяется и исправлять
> его никто не будет т.к не критическая уязвимость.
> "Лучше меньше да лучше"С логикой у Вас плохо, перечитайте два предыдущих поста снова, вдумываясь в построение фраз.
Наводка : вопрос о степени работоспособности программ не поднимается вообще.
> Что блестящая мысль? Лучше 20 тысяч полуработающих программ или 2 тысячи работающих?Если продолжить эту логику, в идеальной системе программ должно быть 0. Ну а после этого можно со спокойной совестью выбросить системник: все-равно вы разницы не заметите.
И да, вероятность того что среди 20 000 пакетов найдется нужная программа - явно выше чем то что нужная программа найдется среди 2000. Вот вам и предложили дальнейшее развитие идеи: если наличие программ вас не парит, то и от системника можно избавиться.
> "Лучше меньше да лучше"Ну так я и говорю - в идеальной системе софта нет совсем. При этом - спору нет, багов там не будет. Просто система будет бесполезна чуть более чем полностью. Потому что раз нет софта - значит это просто кусок металла :)
Так, ладно. Будем как в первом классе.
Больше пакетов = больше шансов насчитать овер миллион уязвимых прог с помощью автоматического тестирования. В каком дистре пакетов больше всего из коробки? Осознается?
Почему дебиан осознается? Не только потому, что другие автору исследования нафиг не сдались.
>> ПС: больше пакетов - больше уязвимостей. Дебиан - реш ето =))
> Блестящая мысль! Предлагаю в следующий раз вместо обновления антивирусных баз выкинуть
> системник в окно. Это идеальная защита от вирусов.Ээээ... чувак, какие антивирусные базы в Debian GNU/Linux? какие вирусы? ты чё?
> Ээээ… чувак, какие антивирусные базы в Debian GNU/Linux? какие вирусы? ты чё?т-с-с. вантузоиды всё равно не поверят, что где-то без их любимых домашних животных существуют.
>> Ээээ… чувак, какие антивирусные базы в Debian GNU/Linux? какие вирусы? ты чё?
> т-с-с. вантузоиды всё равно не поверят, что где-то без их любимых домашних
> животных существуют.Сперва такую же инсталляционную базу набери, наивный чукотский юноша. Потом будешь попёрдывать в лужицы за уголком. Смекаешь?
>>> Ээээ… чувак, какие антивирусные базы в Debian GNU/Linux? какие вирусы? ты чё?
>> т-с-с. вантузоиды всё равно не поверят, что где-то без их любимых домашних
>> животных существуют.
> Сперва такую же инсталляционную базу набери, наивный чукотский юноша.как у троянов? гыг.
> Потом будешь попёрдывать в лужицы за уголком. Смекаешь?
ну, имеем. миллионы рабочих машин с пингвинусом. и «юзерских десктопов», и серверов.
впрочем, вантузофилам всё равно будет недостаточно. будут орать: «хотя бы десять миллионов наберите!» наберётся — будут орать: «мало! вот сто миллионов будет, тогда…» наберётся сто — заорут: «вот миллиард наберёте, тогда уж…» и так далее.
кстати, сильнее всего орут те, кто винду «спёр». потому что их поступок обесценивается вдвойне: они-то думали, что круто намахали Жадных Капиталистов, взяв бесплатно Крутой Продукт. а оказалось, что жадных детей жестоко обманули по методу Тома Сойера.
Нигде по ссылкам нет информации что это дебиан-специфичная ошибка. Т.е. тут скорее исследователи взяли дистрибутив в котором больше всего пакетов и прогнали по ним свою утилиту.Почему они решили про это рассказать дебианшикам, а не в разработчикам програм? Видимо чтобы переложить работы по решению и отслеживанию ошибок на мейнтейнеров дебиана. Ведь гораздо проще записать кучу багов в одну систему учёта ошибок, автоматом, чем связываться с автором каждой.
> Видимо чтобы переложить работы по решению и отслеживанию ошибок на мейнтейнеров дебиана. Ведь гораздо проще записать кучу багов в одну систему учёта ошибок, автоматом, чем связываться с автором каждой.в этом есть смысл. есть правда одно "но" - у мейнтейнеров Стабильного (тм) дибиана времени вагон и они бэкпортят секьюрити фиксы в древние версии, т.е. им в любом случае придется тянуть патчи к себе, а так и патчи будут и в апстрим (наверное) зашлют.
> Почему они решили про это рассказать дебианшикам, а не в разработчикам програм?Потому что они тестировали сборку от разработчиков Debian, а не от разработчиков исходных программ.
Ошибки вызваны не сборкой, будут присутствовать в любом дистрибутиве.
-DFORTIFY_SOURCE -fstack-protector -fstack-protector-all -fbounds-check,...,
-W -Wall -Wextra -Werror, не, не слышал?
Куда павлина девал?!
> Куда павлина девал?!глюк на gravatar
> Много непонятных букв. И попахивает педоркой.Не, попахивает всего лишь каким-то тyпым анонимом на опеннете. "Молчи - за умного сойдешь".
Я чето не понял как наличие уязвимости в squid связано с разработчиками Debian? И почему разрабы дебианы должны фиксить косяки сторонних отилит.Конечно скорее всего тут имеется ввиду что уязвимости есть в деб пакетах тех или иных прог, они (пакеты) собирались мейнтейнирами дебиан. Но тут не уточняется характер проблем.
Если я возьму открытый код squid и соберу пакет деб и пакет рпм, то уязвимость будет в обоих пакетах?
> Я чето не понял как наличие уязвимости в squid связано с разработчиками
> Debian? И почему разрабы дебианы должны фиксить косяки сторонних отилит.Потому что разработчики Debian занимаются разработкой и (сюрприз) поддержкой Debian.
> Если я возьму открытый код squid и соберу пакет деб и пакет
> рпм, то уязвимость будет в обоих пакетах?Если вы собрались заниматься сборкой и _поддержкой_ пакетов, то на этот вопрос вам придётся ответить самому. Именно поэтому сообщения об ошибках отправили разработчикам Debian а не разработчикам squid, потому что разработчики Debian занимаются поддержкой того, что собрали. Именно для этого они и нужны, именно этим и отличается дистрибутив от просто набора скомпилированных программ.
> Я чето не понял как наличие уязвимости в squid связано с разработчиками
> Debian? И почему разрабы дебианы должны фиксить косяки сторонних отилит.В релизнутом дебиане проги старые, а в последних версиях прог этих багов может и не быть. Разрабы дебианы не будут пихать новые версии прог в свой стабильный релиз, потому с багами в старом софте им придётся копаться самим.
> В релизнутом дебиане проги старые, а в последних версиях прог этих багов
> может и не быть.Старые баги авторы софта ВОЗМОЖНО и исправили, но от новых ляпов никто не застрахован. И, как практика, показывает баги есть всегда и в любом софте.
Тут речь скорее о культуре разработки ПО и инструментарии для этого.
Я чето не понял как наличие уязвимости в squid связано с разработчиками Debian? И почему разрабы дебианы должны фиксить косяки сторонних отилит.Конечно скорее всего тут имеется ввиду что уязвимости есть в деб пакетах тех или иных прог, они (пакеты) собирались мейнтейнирами дебиан. Но тут не уточняется характер проблем.
Если я возьму открытый код squid и соберу пакет деб и пакет рпм, то уязвимость будет в обоих пакетах?
ты разрабочик дебиан? ты хочешь дать людям стабильную и надежную систему? -- тогда проблемы безопасности это твои проблемы...
> Я чето не понял как наличие уязвимости в squid связано с разработчиками
> Debian? И почему разрабы дебианы должны фиксить косяки сторонних отилит.Потому что иначе их пользователей малость похакают. Хотя спору нет, баги должны уйти и в апстрим.
Самой программой они не хотят поделиться?
> Самой программой они не хотят поделиться?Конечно, хотят. Ждите новостей, мол, исследователь из CMU с группой рабов основал успешный бизнес по ...чего-то там про "безопасность". Академ-сорс же. Делиться будут методом продажи лапши на уши. Пресс-релиз вот уже есть.
> Самой программой они не хотят поделиться?Mayhem is however not open source,
so I'm not sure people will be willing to make use of it. Let me know
if you think otherwise, and we'll discuss how we can set this up.
сделай сам и открой, на радость всему миру
не удивлюсь если они отдают информацию спецслужбам США,,,,обратные двери в систему - это кладец для спецслужб
Обратные двери? Пусть они защемят твой язык. Русский язык!
> обратные двери в системуЧёрный ход в систему.
И снова неправильно! Плохой у тебя переводчик, палишься пиндос!))
Задний проход в систему же.
> Задний проход в систему же.Когда все работает через этот проход - получается истинный UNIX way.
Всё через этот проход работает, только путь UNIX на этом проходе заканчивается, выбрасывая через него всё не нужное, в отличии от остальных, которые через этот проход свой путь начинают.
Болван, лесной болван. Беги, лес, беги! Получи велосипеды! Лес, которым управляют. Ты задержан, или просто глупый?
Читайте рассылку Дебиана, не читайте OpenNet.
> направили разработчикам Debiab1200? Что-то маловато нашли. Респект дебиану, в других линуксах небось больше раза в 3.
> 1200? Что-то маловато нашли. Респект дебиану, в других линуксах небось больше раза в 3.Наоборот. В других дистрах софт посвежее, и многие дыры уже закрыты :)
может вы еще и пруф предоставите
то есть в debian дыры которые были закрыты в других дистрибютивах открывают?
Over 9000.
В Fedora флаги компиляции куда жёстче + SeLinux из коробки, вероятно, проблемы там менее критичные.-Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4
> В Fedora флаги компиляции куда жёстчеДа вообще-то подобные флаги стали по дефолту во многих дистрах.
> чтобы не наводнять систему трекинга ошибок Debian новыми записями......и чтобы эти ошибки не исправлялись :-)..
ато ВДРУГ их исправят!!
нееееет, нельзя создавать багрепорты!!
</sarcasm>
Закрытие уязвимостей может привести к нарушению стабильности™ - вдруг эти дыры используются другими программами из дистрибутива, и их исправление нарушит работу таких программ.
Более того, по результатам одной из таких автоматических проверок один кекс, так поправил openssh (? -- кажется его) в debian, что пол года дыра удалённая в дистрибутиве весела. Там случайное число из невыделенной памяти кажется бралось, и "это" посчиталось за ошибку -- память выделили и почистили, а случайность превратилось в определённость.P.S. Хотя возможно приврал, так как было давно и я слабо в этом вопросе разбираюсь.
на месте твоего сообщения должно было бы быть "мейнейнер дебиана знает лучше разработчиков openssl как оно должно быть". букв меньше, а смысл тот же
Кекс не был разработчиком openssl -- он просто мимо проходил с автоматической проверкой.
> P.S. Хотя возможно приврал, так как было давно и я слабо в
> этом вопросе разбираюсь.там даже ещё забавней было: обезьяна пришла в список рассылки разработчиков OpenSSL и спросила, можно ли кусок кода убрать. разработчики сказали: «для отладки — можно». но обезьяна тупая, поэтому пока дочитала до последнего слова, первые уже забыла. и убрала, потому что «можно, сами разработчики сказали!»
толпа других обезьян, когда первую макнули мордой в гуано, тоже начала хором орать: «разработчики разрешили! они и виноваты, а наша обезьяна не при чём!» естественно, в итоге за эти ушаты помоев ни одна бебиановская обезьяна перед разработчиками извиниться так и не подумала. равно как аннигилировать первую обезьяну и больше никогда к бебиану её не подпускать вообще.
на вопрос, почему обезьяна, не имеющая реального опыта программирования на си (слова самой обезьяны) и разбирающаяся в криптографии так же, как в физике сверхмалых частиц, посчитала, что может вносить какие-то правки в OpenSSL — бебианцы не отвечают. точнее, самые умные просто делают вид, что вопрос не заметили, а остальные — как и положено обезьянам — начинают визжать и плеваться слюной.
бебиан, конечно, не самый плохой дистрибутив, но считать, что там ответственно подходят к секурити — по меньшей мере наивно.
> на вопрос, почему обезьяна, не имеющая реального опыта программирования на си (слова самой обезьяны) и разбирающаяся в криптографии так же, как в физике сверхмалых частиц, посчитала, что может вносить какие-то правки в OpenSSL — бебианцы не отвечают. точнее, самые умные просто делают вид, что вопрос не заметили, а остальные — как и положено обезьянам — начинают визжать и плеваться слюной.Напоминает историю с "разработчиками" eudev, которые тоже "решили попрактиковаться в новой для себя области - программировании".
> Напоминает историю с «разработчиками» eudev, которые тоже «решили попрактиковаться в новой
> для себя области — программировании».совершенно не напоминает: еудевовцы не поставляли свои эксперименты в составе «стабильного дистрибутива».
> «стабильного дистрибутива».Да гентусятина при всем желании "стабильным дистром" не является. Вот только потому и ... :)
> Да гентусятина при всем желании "стабильным дистром" не является.с чего бы это?
Ну наконец взялись за opensource. Пора купить антивирус.)
Такое ощущение, что комментаторы опеннета в массе своей идиоты. Вроде же понятно, что те же ошибки есть и в других дистрибутивах, софт один и тот же, а заявления типа "в свежих версиях всё пофиксено" не выдерживают никакой критики.
В общем да, ощущение есть. Впрочем уверен, что в среднем обобщённый комментатор оупеннета в жизни заметно более вменяем, чем тут. Влияние анонимности, ничего не поделаешь.
>Влияние анонимностиБезнаказанности.
>, ничего не поделаешь.
Я бы даже сказал, что комментаторы рунета в основной массе своей идиоты. Знаете, есть такая штука, называется "правило 95%". И ведь работает.А касаемо свежих версий - так у меня вообще мурашки по коже от таких заявлений. И ведь действительно существуют люди, которые верят, что с новыми версиями ПО количество багов становится меньше...
> Такое ощущение, что комментаторы опеннета в массе своей идиоты. Вроде же понятно,
> что те же ошибки есть и в других дистрибутивах, софт один
> и тот же, а заявления типа "в свежих версиях всё пофиксено"
> не выдерживают никакой критики.тем не менее, авторам про ошибки решили не рассказывать, инструмента для личного проведения проверок нет. какой-то форониксовский стиль.
p.s. хм. извиняюсь. похоже, авторам таки рассказывают. поспешил.
Думаю, большинство читающих считают "специалиста по безопасности" фуфлом, поэтому решили устроить сабантуй в комментах.
По опыту взаимодействия с подобными утилитами — на хорошем стабильном популярном коде число false positives'ов — процентов 90, если не больше. Устроили FUD какой-то.
> на хорошем стабильном популярном
> коде число false positives'ов — процентов 90, если не больше. Устроили
> FUD какой-то.proof, пожалуйста.
Тулзы от clang'овского анализера до cppcheck на тех же л-крафтах.Но cppcheck — это вообще несерьезно, конечно.
> Тулзы от clang'овского анализера до cppcheck на тех же л-крафтах.А вы вообще различаете сорцы и бинарники?
Тьфу ты. Невнимательно читал.
>на хорошем стабильном популярном коде
>на тех же л-крафтах.дедфуд снова троллит пользователей.
> дедфуд снова троллит пользователей.Всех двух с половиной?
Ну вот, кажется, сам себя затроллил :(
В общем они решили глобально заняться лечением Debian! Радуют!
> Will you also check Debian unstable? It is much easier to have a
> package in unstable fixed, and I suspect that not every crash you find
> will be a security relevant one.We actually already did :) We re-ran all the crashes on debian
unstable. This means that all the crashes we are going to report have
been confirmed on the latest packages from debian unstable.> Additionally, I guess that the vast majority of crahes you have found
> will be upstream bugs which the Debian maintainer would have to
> forward upstream. Will you take efforts to report these bugs to
> upstream as well?Yes. Bugs will be reported upstream first. After two weeks, we will
re-ran the crashes on the latest packages from Debian unstable.
Hopefully, the upstream developers will had time to update packages
with a fix. If the crash still exists, then we will go ahead and
submit a report to the Debian BTS.> Will you check distributions other than Debian, and how will you make
> sure that the upstreams are no swamped with identical bug reports from
> each of their downstream distributions?We might check distributions other than Debian in the near future,
and, as you pointed out, we need to be careful not to report duplicate
bugs. Avoiding duplicate reports has been one of our main goal. That
is why we are reporting only one bug per binary, and at most 5 crashes
per package. We are still thinking about how to minimize duplicate
reports across distributions. One idea would be to limit the number of
"open" bug report to 1 per upstream. When the bug is marked as fixed,
we analyze the patched binary with Mayhem, and potentially report a
new bug if a crash is found.Thanks,
The Mayhem Team
Cylab, Carnegie Mellon Univeristy
Поучиться бы оупеннетовцам основательности подхода, вежливости, а также взвешенности формулировок.
Не, пусть лучше матерные петиции разработчикам редхата пишут.
Мужики, вы об чём?
> Мужики, вы об чём?О том, что злобный редхат своей конкуренцией убивает наше все - Ubuntu, Mir, Upstart.
Надо срочно подготовить еще одну петицию "Поцтеринг уходи!"
а решение простое: открыть инструмент.
$ apt-show-versions mayhem
mayhem not installed (even not available)Нет такой программы. Свистеть --- не мешки ворочать, как говорится.
+1это какая-то их собственная поделка, никто не видел ее, измеряет в неизвестных науке попугаях
По чему баги прислали в дебиан, а не апстрим? При чём тут вообще дебиан?
> По чему баги прислали в дебиан, а не апстрим? При чём тут
> вообще дебиан?о, и ты попался. неа, апстриму — говорят — тоже отослали.
Потому что Debian.Потому что он тут главный.
> По чемуПо то му, ч т о.
Чудо-машина, проверьте порты openbsd.
> Чудо-машина, проверьте порты openbsd.Ну её: у меня на intel core i3 3000M видит только один проц, осталные OCя-четыре.
ничего тут нет страшного это еще один проект машинного тестирования программ с помощью машин по результатам сложно дать сразу ответ т.к. их нужно проанализировать но в любом случае это сделает Дебиан и открытое ПО еще безопасней.
Ubuntu Server 13.10 (Saucy Salamander)
Ну в этом глюкодроме багов то раз в 5 побольше будет
> Как правило, проблемы вызваны переполнением стека или ошибками форматирования строки.Может переполнение буфера на стеке? Стек достаточно сложно переполнить, по-моему. Да и существуют всякие технологии отлавливающие этот момент.
> Да и существуют всякие технологии отлавливающие этот момент.одна из них называется «ядро», например. поставил ulimit — и программу нафиг сегфолтнут. ну, радости с того переполнения-то…
а еще выход за пределы памяти приложения для получения дампа данныхgrsecurity поможет
поможет отсутствие привычки включать кородампы на недовереных машинах.
> поможет отсутствие привычки включать кородампы на недовереных машинах.кордампы от «переполнение кучи», буферов / стеков не поможет
> кордампы от «переполнение кучи», буферов / стеков не поможетсмешались в кучу кони, люди…
>> Да и существуют всякие технологии отлавливающие этот момент.
> одна из них называется «ядро», например. поставил ulimit — и программу
> нафиг сегфолтнут. ну, радости с того переполнения-то…Замечательный пример ответа по теме. Я повторю свой вопрос: точно ли имеется в виду переполнение стека, а не буфера? Только не надо мне в ответ расписывать методы борьбы с переполнениями стека, буфера, кучи, целого, float'а и проч. Вопрос гораздо конкретнее.
А тогда насколько больше таких же проблем было в предыдущей его версии "7.0" ? При выходе новости о релизе "7.1" было написано, что исправлены не просто ошибки, а что исправлено их и много, и что много ошибок в т.ч. и существенных. Еще задолго до релиза "7" я тут писал, что очень может быть, что там так оно и будет, и что и после релиза "7.0" посижу-ка я подольше на "шестом" выжидательно, прежде чем обновлять его до "седьмого" (чтобы потерпеть подольше старый, но чтобы потом при обновлении "перепрыгнуть" сразу на какой-нибудь посовершенней").
И про обновления с чего выявлениями возникает еще такой вопрос: убунты через сколько времени достигают стабильности не худшей, чем "Дебиан"? А то это же очень заманчиво- иметь у себя ОС по стабильности и не худшей Дебиана, и намного свежее его (на этот счет я заметил, что на убунтах какие-либо апдейты бывают намного чаще, чем на Дебиане, так что тем более на то "два в одном" и надеюсь, но не разбираюсь (у меня есть он по-прежнему "6.0.7". Так многое ПО там может быть только более старым, чем в других дистрах, и обновить его там нельзя)).
> это же очень заманчиво- иметь у себя ОС по стабильности и
> не худшей Дебиана, и намного свежее егоКонечно заманчиво: сразу в рай и без усилий :-)
Дебиан обеспечивает прежде всего функциональную стабильность, а уже потом безопасность. Стабильность работы системы, на которю не осуществляется агрессивное воздействие с целью нарушения нормального функционирования.
На сегодняшний день сборщики дистрибутивов (Debian и любого другого) не в состоянии контролировать всех независимых разработчиков, чьё ПО включается в дистрибутив ОС. Здесь просто все друг другу доверяют. По крайней мере до тех пор, пока не обнаружится подстава.
Если Вы не пользуете специальные средства безопасности, типа iptables, grsecurity, selinux, apparmor и пр., то Вы обречены ждать очередную дозу лекарства (патч) от разработчиков ПО или дистрибутива Вашей ОС. Ну или сами исправляйте.
В УНИВЕРСАЛЬНЫХ ОС такова нынешняя политика безопасности по умолчанию. Включение дополнительных средств безопасности создаёт риски ограничения функционала ПО и требует более высокой компетенции от администратора ОС. А как Вы понимаете, высокая компетенция по дефолту всем не раздаётся :-)
> На сегодняшний день сборщики дистрибутивов (Debian и любого другого) не в состоянии
> контролировать всех независимых разработчиков, чьё ПО включается в дистрибутив ОС.да бебианцам бы сначала самих себя контролировать научиться…
>> На сегодняшний день сборщики дистрибутивов (Debian и любого другого) не в состоянии
>> контролировать всех независимых разработчиков, чьё ПО включается в дистрибутив ОС.
> да бебианцам бы сначала самих себя контролировать научиться…1) Тут скорее общая проблема всех дистрибутивов, а не конкретно Debian. Проблемы конкретного ПО практически всегда наследуются дистрибутивом.
2) Привидите, плиз, пример, кто собирает дистрибутив универсальной ОС, с соизмеримой пакетной базой, и делает это лучше чем Debian?
> 1) Тут скорее общая проблема всех дистрибутивов, а не конкретно Debian.но OpenSSL сломали именно в бебиане.
> 2) Привидите, плиз, пример, кто собирает дистрибутив универсальной ОС, с соизмеримой пакетной
> базой, и делает это лучше чем Debian?это к делу не относится вообще. хотя даже дистрибутив Васи Лоханкина с тремя пакетами и нормальным OpenSLL уже лучше бебиана со 100500 пакетами. «единожды солгавший, кто тебе поверит?» бебианцы плюют на секурити с высокой колокольни, позволяя тупорылым обезьянам ковыряться своими жопными манипуляторами в критически важных криптографических пакетах. на помойку.
>> 1) Тут скорее общая проблема всех дистрибутивов, а не конкретно Debian.
> но OpenSSL сломали именно в бебиане.А в каких сложных системах не бывает серьёзных поломок?! Ляп человеческого фактора. Завтра мы можем столкнуться с аналогичной проблемой в любом свободном от обязательств дистрибутиве, в т.ч. коммерческом. Какой-нибудь ментейнер на время отпуска коллеги "поможет" устранить уязвимость в меру общего, но не достаточно глубокого понимания проблемы и таким образом выдаст очередной ляп на посмешище специалистам.
>> 2) Привидите, плиз, пример, кто собирает дистрибутив универсальной ОС,
>> с соизмеримой пакетной базой, и делает это лучше чем Debian?
> это к делу не относится вообще.Что "это" и к какому "делу" не относится?
> хотя даже дистрибутив Васи Лоханкина с
> тремя пакетами и нормальным OpenSLL уже лучше бебиана со 100500 пакетами.В учебном классе для тренировки удалённого входа в систему?
Вам же OpenSSL не сам по себе нужен, а для работы с другими программами из тех самых "100500" !?> «единожды солгавший, кто тебе поверит?»
Debian солгал или ошибся? Ссылочку, плиз, в студию про ложь.
> бебианцы плюют на секурити с высокой
> колокольни, позволяя тупорылым обезьянам ковыряться своими жопными
> манипуляторами в критически
> важных криптографических пакетах.Согласитесь, для "плюющих на безопасность" они слишком часто выпускают обновления. Настоящие же плюющие должны помалкивать о проблемах безопасности.
> на помойку.
Так кто же лучше, чем Debian выпускает дистрибутивы универсальной ОС? На что переходить людям?
> А в каких сложных системах не бывает серьёзных поломок?! Ляп человеческого фактора.в Слаке я таких ляпов не наблюдал, например. но да, да: никто не виноват, так звёзды встали, угу.
> Какой-нибудь ментейнер на время отпуска
> коллеги «поможет» устранить уязвимость в меру общего, но не достаточно глубокого
> понимания проблемы и таким образом выдаст очередной ляп на посмешище специалистам.вот только в бебиане это было не «во время отпуска, в помощь коллеге».
>> это к делу не относится вообще.
> Что «это» и к какому «делу» не относится?количество пакетов. пардон, нафига мне хорошо «упакованая» квартира, где дверь открывается любому по трём щелчкам пальцев?
> Вам же OpenSSL не сам по себе нужен, а для работы с
> другими программами из тех самых «100500» !?мне нужен прежде всего нормальный рабочий OpenSSL. а «те, другие программы» я себе при необходимости сам соберу. это будет однозначно лучше и надёжней, чем в бебиане.
>> «единожды солгавший, кто тебе поверит?»
> Debian солгал или ошибся? Ссылочку, плиз, в студию про ложь.на эту тему я тут 100500 раз писал. можешь считать, что я тебя заставляю доказывать свои утверждения, мне по барабану. бебианообезьяны обливали дерьмом разработчиков OpenSSL, утверждая, что последние «разрешили закомментарить код». то, что разрешили они *только* для отладки — обезьяна-маинтайнер не поняла. потому что тупая, как чугуниевый брусок. и официальных извинений разработчикам OpenSSL за то, что на них пытались повешать собак, никто из бебианообезьян не принёс. всё, этого достаточно: принцип поведения ясен. как только очередная бебианообезьяна накосячит, виноват будет кто угодно, только не бебианообезьяна.
> Согласитесь, для «плюющих на безопасность» они слишком часто выпускают обновления.
да хоть 50 раз в секунду: веры их обновлениям ровно 0. обезьяна, которая не умеет толком программировать (слова обезьяны) и ничего не понимает в криптографии, лезет править своими кривыми жопными манипуляторами криптографический софт. всё, этот epic fail останется с ними навсегда. я лично не готов проверять все их 100500 пакетов, чтобы узнать, где и какая очередная обезьяна накосячила, «поправив» то, в чём ничего не понимает.
>> на помойку.
> Так кто же лучше, чем Debian выпускает дистрибутивы универсальной ОС? На что
> переходить людям?это личные проблемы людей. на любой дистрибутив, который не зашкварился.
>> А в каких сложных системах не бывает серьёзных поломок?! Ляп человеческого фактора.
> в Слаке я таких ляпов не наблюдал, например.1) Патрик - гений! Спору нет! Он никогда и ни в чём не ошибался, не ошибается и не будет ошибаться! Хвала Патрику!
2) "не наблюдал" = "не существует"
Кто ж спорить-то будет с таким утверждением?! Разве что Аристотель?!
Ляп в Debian, надо полагать, Вы наблюдали (отловили) лично...?! Снимаю шляпу, Сэр!> пардон, нафига мне хорошо «упакованая» квартира, где дверь
> открывается любому по трём щелчкам пальцев?Вашей непреклонности позавидует любой партизан :-)
Уж скажите наконец нам милосердно, "дверь" какого "производителя" дистрибутивов не открывается "по трём щелчкам пальцев".> мне нужен прежде всего нормальный рабочий OpenSSL. а «те, другие программы» я
> себе при необходимости сам соберу. это будет однозначно лучше и надёжней,
> чем в бебиане.Debian можно установить в минимальной комплектации, а остальное собирать ручками, если очень нужно. Debian совместим с LSB.
Для особых гурманов есть http://www.linuxfromscratch.org/>>> «единожды солгавший, кто тебе поверит?»
>> Debian солгал или ошибся? Ссылочку, плиз, в студию про ложь.
> на эту тему я тут 100500 раз писал.Коллега, Вы не находите, что, ссылаться в доказательстве на свои прошлые аналогичные высказывания - это, мягко говоря, ненаучно?
>> Согласитесь, для «плюющих на безопасность» они слишком часто выпускают обновления.
> да хоть 50 раз в секунду: веры их обновлениям ровно 0.
> ...
>>> на помойку.
>> Так кто же лучше, чем Debian выпускает дистрибутивы универсальной ОС? На что
>> переходить людям?
> это личные проблемы людей. на любой дистрибутив, который не зашкварился.Ну и какие же дистрибутивы не "зашквариваются"?
Вот пара интересных постов.Нахрена HP (производитель весьма достойных серверов) обеспечивает поддержку помимо коммерческих дистрибутивов Linux ещё и поддержку Debian:
http://www.hp.com/go/debianПоиск Яндекса и почта Рамблера переходят с FreeBSD на Linux (20 июля 2011 в 20:14)
http://habrahabr.ru/post/124563/
PPS
Коллега, я вроде несложные вопросы формулирую... Конструктивный ответ (даже с обоснованием) составит пару-тройку строк. Вы же мне выдаёте "красноречивые трактаты", практическая полезность которых, к сожалению, утопает в эмоциях.
>> в Слаке я таких ляпов не наблюдал, например.
> 1) Патрик — гений! Спору нет! Он никогда и ни в чём
> не ошибался, не ошибается и не будет ошибаться! Хвала Патрику!дёрг-дёрг-передёрг.
Патрик сотоварищи не имеет обычая патчить направо и налево. и если не сидеть на карренте, который по определению работать не обязан, то стабильность ровно такая, как у соответствующих версий софта. плюс cve-патчи, которые есть на тот момент. и ещё немного cvs-патчей, которые выпускаются потом в виде апдейтов.> 2) «не наблюдал» = «не существует»
нет. «не наблюдал» == «не наблюдал». забавные мелкобаги были, но таких пролажей с секурити — нет.
> Ляп в Debian, надо полагать, Вы наблюдали (отловили) лично…?! Снимаю шляпу, Сэр!
нет, я узнал из интернетов. очень удивился, полез проверять и читать. удивился ещё больше и вычеркнул бебиан из дистрибутивов, которым можно доверять. что, кстати, очень прискорбно.
>> пардон, нафига мне хорошо «упакованая» квартира, где дверь
>> открывается любому по трём щелчкам пальцев?
> Вашей непреклонности позавидует любой партизан :-)а что, нынче модно ставить пароли «123» и плевать на секурити? хорошо, что я за модой не слежу.
> Уж скажите наконец нам милосердно, «дверь» какого «производителя» дистрибутивов не открывается
> «по трём щелчкам пальцев».тех, у которых обезьяны не лезут править критичный для security софт.
> Debian можно установить в минимальной комплектации, а остальное собирать ручками, если
> очень нужно. Debian совместим с LSB.можно. но не нужно. зачем лепить конфетку из дерьма, если дерьмо можно просто не трогать?
> Для особых гурманов есть http://www.linuxfromscratch.org/
меня слака вполне устраивает.
> Коллега, Вы не находите, что, ссылаться в доказательстве на свои прошлые аналогичные
> высказывания — это, мягко говоря, ненаучно?а я не пытаюсь никого убедить не использовать бебиан, я просто высказываю свои обидки. по причинам моей дубоголовости красивый набор ссылок был армейским способом утилизирован, а искать заново мне тупо лень. я в своё время далеко не один день потратил, рыская по интернетам, читая и рассматривая всякие позиции и собирая материал. второй раз я на такой подвиг не способен, увы.
> Ну и какие же дистрибутивы не «зашквариваются»?
те, где тупорылые обезьяны не лезут править то, в чём ничего не понимают. пока что известный epic fail был у бебианцев, следовательно, бебиан больше в гости не приглашаем.
> Нахрена HP (производитель весьма достойных серверов) обеспечивает поддержку помимо коммерческих
> дистрибутивов Linux ещё и поддержку Debian:
> http://www.hp.com/go/debianпотому что любит народ всякое говно. а куча народу вон винду использует — и какой из этого вывод? точнее, какие выводы? «винда — хорошая система» у меня никак не получается, например.
> Поиск Яндекса и почта Рамблера переходят с FreeBSD на Linux (20 июля
> 2011 в 20:14)
> http://habrahabr.ru/post/124563/да на здоровье. внутренние сети могут на чём угодно крутиться. а бебиан просто достаточно популярен среди специалистов для того, чтобы не пришлось долго рыскать в поисках. на некоторых наших серверах тоже бебиан, тю. этих серверов или не жалко, или они сидят в карцерах.
> Коллега, я вроде несложные вопросы формулирую… Конструктивный ответ (даже с обоснованием)
> составит пару-тройку строк. Вы же мне выдаёте «красноречивые трактаты», практическая полезность
> которых, к сожалению, утопает в эмоциях.см. выше.
>>> в Слаке я таких ляпов не наблюдал, например.
> Патрик сотоварищи не имеет обычая патчить направо и налево. и если не
> сидеть на карренте, который по определению работать не обязан, то стабильность
> ровно такая, как у соответствующих версий софта.Понимаете, есть дистрибутивы, пригодные к массовому промышленному применению, а есть дистры для энтузиастов.
Ко вторым лично я отнёс бы как минимум Slackware и Gentoo. Их философия не годится для корпоративного сектора. При этом сами дистрибутивы и их команды безусловно заслуживают понимания и уважения.
К слову, как, например, в Слаке поддержка Xen-host из коробки?
Насколько я понимаю, идеология Слаки - это простота. Прослойка дистрибутивостроителя между конечным пользователем и разработчиком софта стремится к нулю. В ряде случаев это хорошо, в ряде случаев - беда.
> сидеть на карренте, который по определению работать не обязан
Т.е. CURRENT <> STABLE.
А что же тогда STABLE?
Собственно Debian stable - это как раз пригодный для массового использования, а не просто CURRENT.
Установка STABLE - это не дань моде, а осознанный шаг хлебнувшего опыта сисадмина хотя бы нескольких серверов.> забавные мелкобаги были, но таких
> пролажей с секурити — нет.Нынешняя "система тестирования" ПО практически любого дистрибутива (коммерческого и свободного) во многом "основана" на массовости пользования. Это бред конечно, но данность жизни! Поэтому, чем больше пользователей у системы, тем больше в ней находят ошибок (при прочих равных условиях конечно). Как-то, где-то, кто-то пытается тестировать ПО прежде, чем оно попадёт к пользователю, внедрять стандарты качества и т.п., но всё это пока остаётся на уровне отдельных НЕПОЛНОЦЕННЫХ инициатив.
> вычеркнул бебиан из дистрибутивов, которым можно доверять. что,
> кстати, очень прискорбно.А о чём же Вы пожалели?
> а что, нынче модно ставить пароли «123» и плевать на секурити? хорошо,
> что я за модой не слежу.Модно выбирать скорее Ubuntu, но никак ни Debian.
>> Уж скажите наконец нам милосердно, «дверь» какого «производителя» дистрибутивов не открывается
>> «по трём щелчкам пальцев».
> тех, у которых обезьяны не лезут править критичный для security софт.Ну не хотите сами говорить, позвольте тогда я угадаю :-)
Это Slackware?>> Debian можно установить в минимальной комплектации, а остальное собирать ручками, если
>> очень нужно. Debian совместим с LSB.
> можно. но не нужно. зачем лепить конфетку из дерьма, если дерьмо можно
> просто не трогать?Ну да, если кто-то хреновый милиционер, то уж кирпичи-то он и подавно класть не умеет. Какая связь?! Лихо вы!
>> Ну и какие же дистрибутивы не «зашквариваются»?
> те, где тупорылые обезьяны не лезут править то, в чём ничего не
> понимают. пока что известный epic fail был у бебианцев, следовательно, бебиан
> больше в гости не приглашаем.Названия, названия интересуют. И уж закроем эту тему.
>> Нахрена HP (производитель весьма достойных серверов) обеспечивает поддержку помимо коммерческих
>> дистрибутивов Linux ещё и поддержку Debian:
>> http://www.hp.com/go/debian
> потому что любит народ всякое говно.Ну знаете, обеспечивать поддержку БЕСПЛАТНОЙ системе - этого от HP можно только в самый последний момент ожидать. Буржуины те ещё! Коммерческие дистры Линукса они давно поддерживают, но из бесплатных кроме Debian я что-то не припомню (CentOS не в счёт)
>> Поиск Яндекса и почта Рамблера переходят с FreeBSD на Linux (20 июля
>> 2011 в 20:14)
>> http://habrahabr.ru/post/124563/
> да на здоровье. внутренние сети могут на чём угодно крутиться. а бебиан
> просто достаточно популярен среди специалистов для того, чтобы не пришлось долго
> рыскать в поисках. на некоторых наших серверах тоже бебиан, тю. этих
> серверов или не жалко, или они сидят в карцерах.Во многих компаниях приватных серверов куда больше, чем выставленных наружу.
>> Коллега, я вроде несложные вопросы формулирую… Конструктивный ответ (даже с обоснованием)
>> составит пару-тройку строк. Вы же мне выдаёте «красноречивые трактаты», практическая полезность
>> которых, к сожалению, утопает в эмоциях.
> см. выше.Я имел в виду конкретные названия дистрибутива, а не абстрактные признаки дистрибутива, лучшего чем Debian.
Иначе всё это похоже на возмущение Адама при выборе жены :-) Ну нет другой, нету!
(вздыхает) сокращаю. секурити в бебиан — оксюморон. выбирать бебиан можно в том случае, когда на секурити плевать. хороши все дистрибутивы, которые не запомоились, как бебиан. с политикой «в наших косяках виноват кто угодно, только не мы» бебиановцы идут на МПХ, весело размахивая своим дистрибутивом. жаль того, что когда-то бебиан был хорошим.
Я, с Вашего позволения, резюмирую нашу содержательную беседу.Иными словами, Вы бы посоветовали, например подрастающим специалистам, выбрать любой другой дистрибутив из списка http://ru.wikipedia.org/wiki/%D0%A1%D0%B...
или из этого списка http://distrowatch.com/dwres.php?resource=popularity
лишь бы это не был Debian.
Знаете, не могу с Вами согласиться и считаю, что начинать знакомиться с Linux, а так же использовать его в продакшене нужно именно с Debian, т.к. этот дистрибутив обладает высокой культурой работы с ПО, отменно документирован (не только HOWTO, но и полноценные последовательные руководства-книги), содержит практически всё необходимое ПО и имеет богатый опыт. В т.ч. и негативный, о котором Вы упоминали. При этом не привязан только к ядру Linux, поддерживает множество платформ и остаётся полностью свободным. На примере Debian хорошо изучать операционные системы, разумеется не ограничиваясь только им.Весьма печально, что одна единственная оплошность некоего товарища из Debian-community оставила столь глубокий шрам в душе некогда преданного поклонника, превратив его в Debian-ненавистника.
Мне как-то рассказывали случай, когда одному начинающему верующему сильно не понравился батюшка в одном из приходов. Так тот прихожанин подумал, что и вся вера такая... ну и отвернулся от неё.
Как говорится: дело хозяйское.
Время рассудит...
> Мне как-то рассказывали случай, когда одному начинающему верующему сильно не понравился
> батюшка в одном из приходов. Так тот прихожанин подумал, что и
> вся вера такая… ну и отвернулся от неё.и от попов польза бывает. да, вся такая. и даже хуже. потому что по их же мануалу — не бывает хороших плодов от худого дерева.
>> Мне как-то рассказывали случай, когда одному начинающему верующему сильно не понравился
>> батюшка в одном из приходов. Так тот прихожанин подумал, что и
>> вся вера такая… ну и отвернулся от неё.
> и от попов польза бывает. да, вся такая. и даже хуже. потому
> что по их же мануалу — не бывает хороших плодов от
> худого дерева.Ну если и на тему веры аллергия, то вот, пожалуйста, тема фруктовая. Надеюсь на бананы аллергии нет... :-)
Жил-был фермер и были у него плантации банановые. Фермер очень старательно относился к своей работе и поэтому бананы с его плантаций всегда были очень вкусными, всем в округе очень нравились.
Много лет работал фермер, но как-то состарился и взял себе молодого помощника. Помощник был малоопытный и в один из рабочих дней напортачил: взял для бананов упаковку от другого фрукта. Сам он это оплошностью не счёл, т.к. упаковки были очень похожими (на его взгляд).
Покупатели очень быстро заметили, что в новой упаковке бананы стали быстрее портиться, о чём и поведали соседу-фермеру. Фермер извинился и пообещал разобраться в ситуации.
Одному покупателю извинений оказалось мало. К слову сказать, это был не совсем покупатель. Он получал бананы бесплатно на завтрак в студенческой столовой. Столовую содержал местный фонд поддержки молодых учёных. Так вот этот самый "покупатель" посчитал, что ему нанесли личное оскорбление и не смог простить фермеру случившейся оплошности. С тех пор во всех местах, где бы ни бывал наш "покупатель", он публично демонстрировал свою неприязнь к фермеру и всему тому, что тот выращивает. Он сознательно отказался от самых вкусных в округе бананов и всех от них отговаривал. На вопрос людей "Что же нам кушать на десерт, если не эти замечательные бананы?!", он заявлял: "Всё что угодно, только не их!".
Тем временем фермер объяснил молодому помощнику все нюансы своей работы и дело наладилось. Покупатели снова говорили "Спасибо!" за заботливо выращенные бананы. Какое-то время спустя люди забыли о том, что когда-то кто-то перепутал тару...
Но один всё-таки помнил! Да-да, всё тот же наш студент-"покупатель". Его ненависть к фермеру не утихала и через годы, но похоже, беспокоила уже только самого студента.
> в Слаке я таких ляпов не наблюдал, например. но да, да:Ибо не ошибается тот кто ничего не делает. Если кто вносит 0 изменений в программы - да, он сделает там 0 багов.
Если продолжить логику чуть далее, лучшая программа - это та которая не написана. А лучший дистр - это тот который не выпустили. Ты никогда не встретишь там багов. По чисто техническим причинам :)
> Ибо не ошибается тот кто ничего не делает. Если кто вносит 0
> изменений в программы — да, он сделает там 0 багов.и это намного лучше, ситуации, когда полоумная обезьяна лезет «править» то, в чём ничего не понимает.