The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от opennews (ok) on 16-Дек-10, 13:14 
В рамках празднования десятилетия проекта представлена (http://www.openwall.com/lists/announce/2010/12/15/1) версия 3.0 ориентированного на обеспечение высокой безопасности дистрибутива Openwall GNU/*/Linux (http://www.openwall.com/Owl/) (для краткости - Owl), разрабатываемого преимущественно в России. Owl - дистрибутив Linux для серверов - компактный, с повышенной безопасностью и встроенной поддержкой OpenVZ-виртуализации. Owl также хорошо подходит в качестве базовой системы для образов виртуальных машин и для встраиваемых систем, а один CD с Owl включает полную live-систему, устанавливаемые пакеты, инсталлятор, полные исходные тексты и даже систему сборки.


Особенности (http://www.openwall.com/Owl/CHANGES-3.0.shtml) Owl 3.0:


-  Полное отсутствие SUID программ при  установке по умолчанию. Вместо них есть небольшое количество SGID-программ, а доступ соответствующих групп не расширяется до root-доступа без дополнительной уязвимости;
-  Добавление поддержки архитектуры x86-64;
-...

URL: http://www.openwall.com/lists/announce/2010/12/15/1
Новость: http://www.opennet.me/opennews/art.shtml?num=29010

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  –6 +/
Сообщение от Толя Вихров (ok) on 16-Дек-10, 13:14 
Странно, написал комментарий, а он куда то пропал: обновил страницу - а его нету О_о
Напишу еще раз: а в этом Openwall точно нету бэкдоров ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +2 +/
Сообщение от uldus (ok) on 16-Дек-10, 14:18 
> Напишу еще раз: а в этом Openwall точно нету бэкдоров ?

Вероятность появления в Owl бэкдора намного ниже, чем в других Linux-дистрибутивах так как команда у проекта достаточно маленькая и сплоченная. Все кто участвует в разработке Owl имеют большой опыт и заработанный за годы упорной работы авторитет. Уж чьему коду я могу доверять, так это коду Solar Designer-а, который зарекомендовал себя как порядочный и принципиальный человек. Таким сколько не предлагай благ в обмен на подлость, они откажутся, так как чистая совесть и истина все равно дороже.

Весь свой и чужой код подвергается жесткому аудиту, в процессе которого не один десяток новых дыр был найден. Отчасти небольшое число пакетов в дистрибутиве связано как раз с тем, что пропускается только прошедший аудит код.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от des7 email on 16-Дек-10, 13:25 
Гарантий что в той или иной системе нет бекдоров никто не даст. В нашей жизни только в морге дают 100 % гарантию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  –5 +/
Сообщение от Толя Вихров (ok) on 16-Дек-10, 13:27 
Ну и чем тогда оно лучше OpenBSD ? В нем, так же как и в OpenBSD, могут быть трояны.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от linux_must_die (ok) on 16-Дек-10, 13:34 
можно подумать что на компе ты хранишь тонны цп или секрет вечной молодости и все хотят у тебя его украсть. какая разница, есть там бэкдоры или нет? шанс что тебя поломают через такой бэкдор стремится к нулю.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +2 +/
Сообщение от Name on 16-Дек-10, 15:57 
вот именно, если надо то к тебе без всяких бэкдоров, а через самые фронтдоры придут, вынут лом и ты сам всё покажешь :)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  –1 +/
Сообщение от Anonimous on 16-Дек-10, 14:05 
>> В нем, так же как и в OpenBSD, могут быть трояны.

И много Вы видели троянов в OpenBSD?
А так-то да, могут, конечно. :-)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  –3 +/
Сообщение от Anonimous on 16-Дек-10, 16:16 
А вот как бы (ВНЕЗАПНО!) в соседней новости.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +1 +/
Сообщение от Michael Shigorin email(ok) on 16-Дек-10, 15:29 
Саша и коллеги -- поздравляю!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от solardiz (ok) on 18-Дек-10, 18:26 
Спасибо за все поздравления!

Кстати, вот обсуждение на Slashdot (при публикации модератором, URL изменился - тот, что я постил раньше, теперь соответствует черновому/архивному варианту новости):

http://linux.slashdot.org/story/10/12/17/203204/Openwall-Lin...

103 комментария (и их количество еще растет), из которых дельных мало и их найти сложно - они где-то там прячутся, но они есть (надеюсь на помощь в модерировании тамошней ветки сообществом). ;-)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от Иван Иванович Иванов on 16-Дек-10, 16:56 
patchset выпускать перестали. Странно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +2 +/
Сообщение от solardiz (ok) on 16-Дек-10, 21:12 
> patchset выпускать перестали. Странно.

Какой patchset? Если речь об -ow патчах к ядру, то они по-прежнему существуют лишь для ядер до 2.4 - для тех кто их все еще использует. К Owl это отношения уже не имеет: поддержку ветки 2.0-stable мы сейчас прекратили, а в новых ветках - ядра на основе RHEL5+OpenVZ. Тем не менее, я собираюсь выпустить 2.4.37.11-ow1, когда 2.4.37.11 выйдет (ожидаются более важные исправления, чем в .10). Появится тут:

http://www.openwall.com/linux/

(сейчас там раздается 2.4.37.9-ow1).

Что касается патча к ядру на основе RHEL5+OpenVZ из Owl, его при желании можно взять тут:

http://cvsweb.openwall.com/cgi/cvsweb.cgi/Owl/packages/kernel/

(а также в native.tar.gz или через anoncvs).

На данный момент, там есть некоторые security fix'ы из ядра для RHEL 5.6 и не только, еще не вошедшие в ядро, выпущенное OpenVZ. Т.е. мы чуточку впереди в этом плане. ;-)

Возвращаясь к проекту Owl, напоминаю что в нем основные усилия идут на userland, а не на ядро. Кстати, userland от Owl работает и со "сторонними" ядрами 2.6.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от Иван Иванович Иванов on 17-Дек-10, 02:59 
Вы меня правильно поняли, но меня больше интересуют generic патчи для mainline, нежели патчи для RHEL.

RHEL5 ядро настолько старо, что обычно 75% уязвимостей его обходят.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +2 +/
Сообщение от solardiz (ok) on 17-Дек-10, 04:10 
> меня больше интересуют generic патчи для mainline, нежели патчи для RHEL.

Нам было бы довольно странно и не очень разумно заниматься поддержкой патчей, которые мы сами бы не использовали (мы сейчас на новые системы ставим почти исключительно RHEL5/OpenVZ ядра - те, что раздаем в Owl). А причину почему mainline бы не использовали Вы назвали сами:

> RHEL5 ядро настолько старо, что обычно 75% уязвимостей его обходят.

Вот, и зачем нам в 4 раза больше уязвимостей? А если кто-то готов на это пойти, то значит у него приоритеты расставлены иначе и security hardening patch ему ни к чему, не так ли? RHEL5 же оказывается для нас оптимальным выбором - с точки зрения поддержки оборудования и нужных технологий там все есть, а с точки зрения уязвимостей это сравнительно старое/стабильное ядро.

С другой стороны, в отношении security hardening для mainline не все так плохо: Dan Rosenberg (Virtual Security Research) и Kees Cook (Ubuntu) недавно составили список изменений из -ow патчей и grsecurity, и еще некоторых "новых" изменений, которые, по их мнению (в целом, совпадающему с моим), должны войти в mainline. Теперь они пере-реализуют эти изменения в форме, пригодной для upstream (добавляют sysctl'ы и т.п.), и постят в LKML по одному, затем участвуют в дискуссиях, доводят до ума/консенсуса и т.д. Вообщем, делают то, что надо. Таким образом уже вошла поддержка dmesg_restrict sysctl и CONFIG_SECURITY_DMESG_RESTRICT, сразу back-port'нулась в ядро для RHEL 5.6, откуда back-port'нулась мной в ядро на основе RHEL 5.5 что мы даем в Owl 3.0. И это только начало. Вот такой круговорот. Зато всё у всех будет. :-) Вот план:

https://wiki.ubuntu.com/SecurityTeam/Roadmap/KernelHardening

Я тоже имел наглось кое-что туда добавить. ;-)

А, чуть не забыл, еще в нашей команде сейчас ведется работа над одной дополнительной возможностью ядра "для безопасности". Код изначально делаем для mainline, чтобы предложить его для включения upstream. А уж потом, независимо от результата (включат или нет), сделаем себе back-port.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от Иван Иванович Иванов on 17-Дек-10, 23:30 
Спасибо за ответы и вашу работу!

Вы - очень интересный собеседник.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

12. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +1 +/
Сообщение от phpcoder email(ok) on 16-Дек-10, 22:58 
Молодцы! Поздравляю!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от Жирный ублюдок DBA on 17-Дек-10, 09:57 
Отличная новость!
Скажите, а где можно вытянуть template с OWL для OpenVZ ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от solardiz (ok) on 17-Дек-10, 10:57 
> Скажите, а где можно вытянуть template с OWL для OpenVZ ?

На любом из наших mirror'ов. Например:

ftp://ftp.ru.openwall.com/pub/Owl/3.0-release/vztemplate/
ftp://ftp.ru.openwall.com/pub/Owl/current/vztemplate/

(пока что 3.0-release и current идентичны, но скоро они начнут отличаться, а еще появится 3.0-stable там же).

Давайте поднимем тему Owl 3.0 на Slashdot: http://slashdot.org/submission/1420798/Openwall-Linux-30-no-...

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +1 +/
Сообщение от Жирный ублюдок DBA on 17-Дек-10, 12:36 
Спасибо за ответ!
Буквально за 3 минуты запустил контейнер под proxmox.
Буду смотреть и тестировать.

Спасибо Вам за проделанную работу!

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +1 +/
Сообщение от solardiz (ok) on 17-Дек-10, 13:24 
> Буквально за 3 минуты запустил контейнер под proxmox.

Спасибо за отзыв. Надеюсь, будут еще. :-)

> Спасибо Вам за проделанную работу!

Пожалуйста! А как насчет поддержать новость на Slashdot (vote up, comment)? ;-)

http://slashdot.org/submission/1420798/Openwall-Linux-30-no-...

Хотелось бы получить критику и от Slashdot'овцев, несмотря на их жестокость. ;-)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

18. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +1 +/
Сообщение от neo_teosoft on 17-Дек-10, 12:49 
А как в системе стать root'ом?
завел пользователя, ввел в группу wheel,
но su root - bash: /bin/su: Permission denied
Или надо из под рута поставить sudo ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от solardiz (ok) on 17-Дек-10, 13:19 
> А как в системе стать root'ом?

Лучше - зайти root'ом с консоли или по ssh. Чтобы под root'ом делать только то, что реально этого требует, надо сделать два отдельных захода - root и не-root. su и sudo мы использовать не рекомендуем. Это распространенное заблуждение, что заход под пользователем и затем su как-то безопаснее, чем заход под root. Обычно верно обратное.

http://www.openwall.com/lists/owl-users/2004/10/20/6

> но su root - bash: /bin/su: Permission denied

По умолчанию, su доступен лишь для переключения от root'а под пользователя, но не обратно. Если очень хочется все же соблюсти абсурдную традицию, то можно сказать:

control su wheelonly

После этого su станет доступен группе wheel. Более этого, эта настройка будет сохраняться при обновлениях системы, так что делать ее заново после обновления не придется. Рекомендую также запустить просто "control" (выдаст список подобных настроек) и "man control".

> Или надо из под рута поставить sudo ?

Можно, но не советую (за очень редкими исключениями).

(Если совсем честно, то и для su я иногда делаю исключения - в частности, на desktop-системе с X - но Owl для этого не предназначена.)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +1 +/
Сообщение от Michael Shigorin email(ok) on 17-Дек-10, 19:20 
> Чтобы под root'ом делать только то, что реально этого требует, надо сделать
> два отдельных захода - root и не-root.

Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным.  По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.

Вообще же да, критика иллюзии скорее справедлива.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от solardiz (ok) on 17-Дек-10, 19:54 
> Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным.

Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена" людей), которым даем uid 0 - т.е. они фактически root'ы. В Owl именно в связи с этим sulogin заменен на msulogin моей разработки - чтобы даже при загрузке в single user можно было выбрать под каким из root'ов зайти. ;-) Всё остальное работает с подобной схемой без проблем и так. (Кстати, мы предложили msulogin для включения в дистрибутивы Red Hat - соответствующий "баг" у них висит открытым уже много лет.)

> По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.

Было, но без подробностей.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от Michael Shigorin email(ok) on 17-Дек-10, 21:07 
> Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида
> r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена"
> людей), которым даем uid 0 - т.е. они фактически root'ы.

А, вот как.  Спасибо, toor помню, множественные логины с одинаковым uid знаю, но не состыковалось :)

> В Owl именно в связи с этим sulogin заменен на msulogin моей
> разработки - чтобы даже при загрузке в single user можно было
> выбрать под каким из root'ов зайти. ;-)

За что отдельное спасибо, в альте к нему привык :-)
Теперь понятно, почему так.

>> По крайней мере в окрестностях того треда в своё время не нашёл
>> обсуждения подобного use case и удивился.
> Было, но без подробностей.

Перешлю в sysadmins@altlinux, думаю, многим будет тоже интересно.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  –1 +/
Сообщение от Аноним (??) on 20-Дек-10, 17:09 
"с повышенной безопасностью" если имеется в виду -"Переход на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями);" - это не аксиома. Если Вы перейдете на  RHEL 5.5-подобные ядра Linux (с дополнительными изменениями) это не означает повышение безопасности.  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет"  +/
Сообщение от Michael Shigorin email(ok) on 20-Дек-10, 17:22 
> это не означает повышение безопасности.

О, никак новый Шнайер залогиниться забыл за работой над очередным whitepaper'ом...

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру