https://www.opennet.me/openforum/vsluhforumID3/61311.html Непревзойденный в плане подхода к обеспечению безопасности серверный Linux дистрибутив Owl (http://www.openwall.com/Owl/) осуществил переход (http://www.openwall.com/lists/announce/2009/11/23/1) на Linux ядро 2.6.x. Также в дистрибутив интегрирована поддержка технологии OpenVZ для создания изолированных контейнеров, в связи с чем в состав добавлены пакеты vzctl и vzquota. В качестве Linux ядра используется версия 2.6.18 с патчами от RHEL и поддержкой OpenVZ. Отражающие последние изменения ISO-образы сформированы (http://www.openwall.com/Owl/) для архитектур x86 и x86-64.<br><br>URL: http://www.openwall.com/lists/announce/2009/11/23/1<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=24395<br> https://www.opennet.me/openforum/vsluhforumID3/61311.html#20 Thu, 25 Mar 2010 11:03:40 GMT &gt; В ближайших планах (вероятно, декабрь) - переход на "2.6.18-164..." (как-бы с RHEL 5.3 на 5.4).<br><br>С опозданием, но мы всё же это сделали. В ISO'шках за 23-е марта (под i686 и x86-64) ядро зовется 2.6.18-164.15.1.el5.028stab068.5-owl1 и включает патчи от Red Hat из -164.15.1, объявленного 16-го марта, и 028stab068.5 от OpenVZ, выпущенного 18-го марта.<br> https://www.opennet.me/openforum/vsluhforumID3/61311.html#19 Fri, 27 Nov 2009 08:46:52 GMT У нас появилась инструкция по использованию OpenVZ контейнеров на Owl, на конкретном примере, как на установленной, так и на загруженной с CD/DVD системе (для тех кто хочет сначала "поиграться"):<br><br>http://openwall.info/wiki/Owl/usage-examples/OpenVZ/getting-started<br><br>(Разумеется, можно и просто грузиться с файла-ISO'шки под эмулятором. Сами часто так делаем.)<br> https://www.opennet.me/openforum/vsluhforumID3/61311.html#18 Thu, 26 Nov 2009 06:56:45 GMT Молодцы!<br><br>С интересом прочитал новость и комментарии здесь.<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/61311.html#17 Thu, 26 Nov 2009 01:18:30 GMT &gt;А как на счет grsecurity pax? <br><br>Не планируется. При наличии времени (и, возможно, спонсора), есть потенциальный план делать свои hardening изменения и дополнения на основе ядер OpenVZ - как в код mainstream ядер, так и в код специфичный для OpenVZ. Например, возможность запретить отдельному контейнеру выполнять 32-битные или 64-битные системные вызовы, тем самым сокращая риск атак на ядро. Это лишь один пример, у меня есть список желаемых доработок такого рода. Вероятно, многое из этого сможет войти в upstream.<br><br>PaX - хорошая штука, и автор реально хороший специалист. Но есть причины PaX в Owl не интегрировать. Насколько я знаю, PaX не разрабатывается и не поддерживается для RHEL'овых ядер - т.е. портирование и поддержка были бы на нас (а это время и риск привнести баг или даже уязвимость - а PaX реально сложная штука, которую кроме его автора никто "до конца" не понимает - я слегка читал код, там есть очень много важных, но не комментированных деталей реализации, которые без знания "внешних обстоятельств https://www.opennet.me/openforum/vsluhforumID3/61311.html#16 Thu, 26 Nov 2009 00:37:55 GMT &gt;А мне запомнилась его 128 байтовая демка Cross ...<br><br>Забавно, что такие вещи вспомнили здесь. Cross была другого участника конкурса. Моя была Highway. Но это не в тему.<br><br>А в тему - за Owl "стою" не только я. В частности, значительную часть работы после Owl 2.0 (да и до тоже) проделали Дмитрий Левин (известный также как один из ключевых разработчиков ALT Linux), Михаил Литвак, Дмитрий Хлебников и еще несколько человек (в том числе "не русские", хотя это в большей степени до 2.0). Проект небольшой, команда тоже, но всё же это не я один, и это важно.<br> https://www.opennet.me/openforum/vsluhforumID3/61311.html#15 Thu, 26 Nov 2009 00:18:27 GMT &gt;2.6.18-128.2.1.el5.028stab064.8-owl0.2 -- детская болезнь, такое длинное наименование избыточно. Вполне достаточно 2.6.18-owl-r0648 :-) <br><br>Спасибо за мнение. В userland пакетах мы такие длинные "номера" версий не используем, несмотря на то что в ряде случаев там тоже набор патчей из разных источников. В случае с ядром пока так в какой-то степени чтобы подчеркнуть для "новичков" что это далеко не 2.6.18 и сразу "ответить на вопросы" что именно. С другой стороны, я понимаю что все ответы в номер версии или имя файла все равно не уместить... К тому же, 128.2.1 оказывается не совсем верным, т.к. часть более новых Red Hat'овых патчей вошла в owl0.2, фактически доведя версию до 128.7.1, но OpenVZ'овый 064.8 при этом базировался на 128.2.1. Так что да, есть причины отказаться от такой длинной нумерации. Подумаем.<br><br>&gt; Кстати, как у вас там с aufs дело обстоит -- используете ли и если да, то какую версию?<br><br>Пока не используем. Пока контейнеры на simfs. Может быть, позже, если будет значительный спрос или это (общие https://www.opennet.me/openforum/vsluhforumID3/61311.html#14 Thu, 26 Nov 2009 00:02:46 GMT &gt; Буду пробовать пока на VirtualBox.<br><br>Отлично. Пожалуйста, о результатах (отзывы, вопросы) - в owl-users. А можно и в комментарии здесь тоже. Нам реально нужны отзывы от пользователей.<br> https://www.opennet.me/openforum/vsluhforumID3/61311.html#13 Wed, 25 Nov 2009 21:24:31 GMT 2.6.18-128.2.1.el5.028stab064.8-owl0.2 -- детская болезнь, такое длинное наименование избыточно. Вполне достаточно 2.6.18-owl-r0648 :-) Уж поверьте... Живу на таком же ядре с 2006 года (саморощенный SLAX-like линукс на основе GETNTOO). Кстати, как у вас там с aufs дело обстоит -- используете ли и если да, то какую версию?<br> https://www.opennet.me/openforum/vsluhforumID3/61311.html#12 Wed, 25 Nov 2009 20:03:14 GMT А мне запомнилась его 128 байтовая демка Cross, котороую он на конкурс в ru.demo.design лет 15 назад кидал :-)<br><br><br>