https://m.opennet.dev/openforum/vsluhforumID3/114710.html 28 июня приблизительно в 20:20 UTC неустановленные лица получили (https://www.gentoo.org/news/2018/06/28/Github-gentoo-org-hacked.html) контроль над GitHub инфраструктурой проекта Gentoo и изменили содержимое репозиториев и некоторых страниц. Разработчики и мейнтейнеры пока работают над определением масштаба внесённых изменений и над возвращением контроля на репозиториями. Один из коммитов, добавленный злоумышленниками, добавлял во все ебилды команду "rm -fr /*". <br><br><br>Весь код проекта, размещённый на GitHub, на данный момент может считаться скомпрометированным, но это не касается кода, размещённого на собственной инфраструктуре проекта Gentoo. GitHub использовался лишь для зеркалирования, а первичная разработка велась на собственных серверах, таким образом допускается использовать rsync или webrsync с gentoo.org. Все коммиты были подписаны, поэтому при использовании git следует обращать на эти подписи внимание.<br><br><br><br>Утром (04:26 UTC) контроль за репозиториями Gentoo в GitHub был восстановлен и в настоящее в https://m.opennet.dev/openforum/vsluhforumID3/114710.html#112 Wed, 28 Nov 2018 16:40:45 GMT reflog - это локальная штука, reflog какира посмотреть не получится<br> https://m.opennet.dev/openforum/vsluhforumID3/114710.html#111 Tue, 10 Jul 2018 06:42:39 GMT &gt; хотя бы банально для того, чтобы не каждый, вызвавший в нем remote <br>&gt; code exec, мог заодно попатчить его бинарник (или скрипты), расположившись внутри <br>&gt; всерьез и надолго.<br>&gt; чисто из любопытства - зачем вам вообще какое-то разделение пользователей, если вы <br>&gt; живете во времена ms-dos - "все в хомяк!" ?<br><br>я не живу "всё в хомяк", и фокс от другого юзера<br>но в пакетной системе при установке точно скрипты запускать от рута не стоит, как и разворачивать пакет сразу на файловую систему без верификации чего он там поназапишет<br> https://m.opennet.dev/openforum/vsluhforumID3/114710.html#110 Tue, 10 Jul 2018 06:34:04 GMT &gt;&gt; Жесть, вообще. Как раз читаю уже несколько дней Gentoo Handbook, собираюсь накатить <br>&gt;&gt; на сервер с коллекцией моих фотографий и других файлов, накопленных за <br>&gt;&gt; всю жизнь.<br>&gt;&gt; Вот где rm /* -rf натворило бы дел!<br>&gt; Не натворил бы: portage, емнип, не допускает запуска bash команд снаружи функций <br>&gt; в ebuild-скриптах.<br><br>а тут говорят что допускает<br>https://www.opennet.ru/openforum/vsluhforumID3/114710.html#40<br> https://m.opennet.dev/openforum/vsluhforumID3/114710.html#109 Tue, 03 Jul 2018 14:41:21 GMT &gt;&gt;&gt; ебилды синхронизируются по незащищённому протоколу и без проверки целостности <br>&gt;&gt; Это уже неактуальная информация. При синхронизации через rsync проверка целостности сейчас <br>&gt;&gt; производится по умолчанию.<br>&gt; У меня она второй день при обновлении через rsync не проходит, обязательно <br>&gt; для какого-то ebuild контрольная сумма не совпадёт. Но такое бывало и <br>&gt; раньше изредка.<br><br>Это бывает, когда напоролся на параллельное обновление. В таком случае надо повторить синхронизацию. Если же это не помогает - тогда разбираться!<br> https://m.opennet.dev/openforum/vsluhforumID3/114710.html#108 Tue, 03 Jul 2018 11:48:29 GMT хотя бы банально для того, чтобы не каждый, вызвавший в нем remote code exec, мог заодно попатчить его бинарник (или скрипты), расположившись внутри всерьез и надолго.<br><br>чисто из любопытства - зачем вам вообще какое-то разделение пользователей, если вы живете во времена ms-dos - "все в хомяк!" ?<br><br> https://m.opennet.dev/openforum/vsluhforumID3/114710.html#107 Tue, 03 Jul 2018 11:39:07 GMT &gt; и всё что им остаётся: отправлять коммиты письмами (или ebuild) или оставлять pull request на github. <br><br>сколько безысходности в этой фразе... а тут ещё PR на GH не отправишь... жесть какая...<br> <br><br><br> https://m.opennet.dev/openforum/vsluhforumID3/114710.html#106 Tue, 03 Jul 2018 11:11:43 GMT шлакваре - сказано же, новомодным не доверяет. Твой lfs, если верить викивракии, сляпали в 99м, то есть он всего на пол-года старше генты - олдовые сисадмины на такой модный шлак не ведутся.<br><br> https://m.opennet.dev/openforum/vsluhforumID3/114710.html#105 Mon, 02 Jul 2018 16:19:29 GMT Подробности компроментации не всплыли?<br> https://m.opennet.dev/openforum/vsluhforumID3/114710.html#104 Mon, 02 Jul 2018 13:48:02 GMT Да все ок там. Просто ради прикола пару echo добавили тут и там. Рекомендую загрузить и самим посмотреть через выполнение кода <br>