The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление сборки Openwall GNU/*/Linux 3.1-stable "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +/
Сообщение от opennews (??) on 02-Авг-15, 20:09 
Представлено (http://www.openwall.com/lists/announce/2015/08/02/1) обновление iso-образов (ftp://mirrors.kernel.org/openwall/Owl/3.1-stable/iso/) и шаблонов контейнеров OpenVZ стабильной ветки Openwall GNU/*/Linux (Owl) 3.1-stable (http://www.openwall.com/Owl/ru/). По сравнению с январскими сборками, в состав нового выпуска включены накопившиеся (http://www.openwall.com/Owl/CHANGES-3.1-stable.shtml) обновления с устранением уязвимостей, в том числе исправлены уязвимости glibc GHOST, OpenSSL FREAK, BIND TKEY и проблемы, позволяющие поднять привилегии (http://www.openwall.com/lists/oss-security/2015/06/06/2) в системе и выйти (http://www.openwall.com/lists/oss-security/2015/04/03/7) за пределы контейнера OpenVZ.

Owl представляет собой компактный дистрибутив GNU/Linux, ориентированный на обеспечение высокой безопасности, который  может использоваться как для создания высокозащищённых   серверных систем, так и для создания базовой начинки изолированных контейнеров и организации работы контейнерной виртуализации на основе OpenVZ. В дистрибутиве по умолчанию применяются (http://www.openwall.com/Owl/ru/CONCEPTS.shtml) передовые методы обеспечения защиты, используются наиболее безопасные настройки (например, по умолчанию не поставляется программ с флагом suid) и поставляются только пакеты, заслуживающие доверия и прошедшие аудит исходного кода. Кроме готовых бинарных пакетов, предоставляются удобные средства для пересборки пакетов из исходных текстов (make buildworld (http://www.openwall.com/Owl/ru/BUILD.shtml)) и формирования iso-образа или начинки виртуального окружения.


URL: http://www.openwall.com/lists/announce/2015/08/02/1
Новость: http://www.opennet.me/opennews/art.shtml?num=42713

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +2 +/
Сообщение от Аноним (??) on 02-Авг-15, 20:09 
Owl 3.0 вышла 14 декабря 2010 года. Эта версия содержит ядро Linux 2.6 / OpenVZ на основе используемого в RHEL 5.5 и в ней "из коробки" поддерживается виртуализация на уровне OpenVZ-контейнеров. В Owl 3.1-stable мы перешли на Linux/OpenVZ ядра на основе используемых в RHEL 5.11.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +/
Сообщение от Анончег on 03-Авг-15, 00:09 
Новость состоит всего из двух параграфов, да и те взаимоисключающие.


> ... исправлены уязвимости glibc GHOST, OpenSSL FREAK, BIND TKEY и проблемы, позволяющие поднять привилегии в системе и выйти за пределы контейнера OpenVZ.
> Owl представляет собой ... дистрибутив GNU/Linux, ориентированный на обеспечение высокой безопасности. ... В дистрибутиве по умолчанию применяются передовые методы обеспечения защиты ... и поставляются только пакеты, заслуживающие доверия и прошедшие аудит исходного кода.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +4 +/
Сообщение от solardiz (ok) on 03-Авг-15, 04:54 
> Новость состоит всего из двух параграфов, да и те взаимоисключающие.

В своё время, взяв за основу ядро Linux и в целом типичный набор библиотек (пусть и с нашими hardening-патчами) ради обеспечения совместимости, мы пошли на то, что серьезные уязвимости будут (несмотря на частичные аудиты кода, как это описано в CONCEPTS) и временами они будут находиться и исправляться. В то же время, за прошедшие с начала проекта ~15 лет, многие уязвимости аналогичных компонентов других дистрибутивов Linux не затрагивали Owl. Если интересно, вот мои соображения об (умеренной) пользе проекта и возможном будущем: http://www.openwall.com/lists/owl-users/2014/12/30/1

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +3 +/
Сообщение от Аноним (??) on 03-Авг-15, 09:17 
Спасибо вам за вашу работу и за то, что поддерживаете контакт с пользователями, в том числе и через этот сайт.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

5. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +/
Сообщение от Аноним (??) on 03-Авг-15, 03:43 
а какой дистр самый передовой?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  –1 +/
Сообщение от Аноним (??) on 03-Авг-15, 04:33 
Ubuntu
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  –1 +/
Сообщение от SysA on 03-Авг-15, 12:19 
> а какой дистр самый передовой?

Gentoo!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +2 +/
Сообщение от Michael Shigorin email(ok) on 03-Авг-15, 12:28 
> а какой дистр самый передовой?

Федора -- в плохом смысле слова.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +/
Сообщение от Аноним (??) on 03-Авг-15, 18:23 
А как же альт?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +1 +/
Сообщение от Michael Shigorin email(ok) on 03-Авг-15, 23:39 
> А как же альт?

Альт был весьма передовым где-то до 2004 включительно, некоторый рывок был сделан в 2005, 2007 и немалый в 2009 (см. тж. статистику коммитов на openhub); а сейчас надо собираться с силами к следующему рывку.

Тем не менее задел, созданный в начале нулевых в т.ч. совместно с Owl, во многом помогает до сих пор:

http://docs.altlinux.org/manpages/tcb.5.html
http://altlinux.org/control
http://packages.altlinux.org/ru/4.0/srpms/glibc/patches
http://www.altlinux.org/Features/ChrootedServices

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +/
Сообщение от Китайская пельмешка on 11-Авг-15, 05:42 
Debian, от него произошло много дистрибутивов (целая ветка). Там самая большая база репозиториев. Такой серьезный, стабильный Линь)).
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  –3 +/
Сообщение от GenryU on 03-Авг-15, 12:32 
Ха!  
Убунту очень "передовой" дистр "не линукса" !
Сначала, якобы, делает какую-то супер-новую фитчу, а потом тихо заменяет её разработкой из Рэд-Хэт Федоры.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +/
Сообщение от АнонимХ (??) on 04-Авг-15, 10:58 
В какой ситуации его можно применить? Кто и где его применяет у себя?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +/
Сообщение от max (??) on 04-Авг-15, 13:22 
думаю на нем развернуть багзиллу. все необходимое есть, ничего лишнего - имхо, самый подходящий выбор.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Обновление сборки Openwall GNU/*/Linux 3.1-stable "  +/
Сообщение от solardiz (ok) on 05-Авг-15, 09:30 
> В какой ситуации его можно применить?

Учитывая уже не-свежие upstream версии большинства компонентов (хотя и с исправлениями уязвимостей) и очень ограниченный набор пакетов, на данный момент рекомендованные применения ограничены. Но они есть:

Для OpenVZ хост-системы с контейнерами с не самыми свежими другими дистрибутивами. Из наиболее актуальных, это CentOS 6.x (работает без проблем, несмотря на использование нами ядра на основе RHEL5) и Owl же.

Для OpenVZ-контейнеров с чем-то простым, что не сложно собрать и поставить поверх базовой системы Owl.

Для shared-хостинга (лучше тоже еще и внутри контейнера), где оказывается наиболее полезной повышенная "локальная" безопасность Owl userland (отсутствие SUID'ников, но с сохранением работоспособности таких команд как passwd и crontab). При этом веб-сервер, PHP и остальное специфичное для веб-хостинга придется собрать и поставить на Owl отдельно. У нас есть такие наработки - работают в нескольких компаниях уже много лет. К сожалению, мы не довели их до вида, пригодного для релиза на широкую публику.

Для обучения и различных экспериментов, учитывая легкость пересборки системы.

> Кто и где его применяет у себя?

Мы сами и применяем, в том числе у клиентов.

На хостах и контейнерах с Owl построен сервис WebEnabled: http://webenabled.com

Как мы недавно узнали, RPM5 maintainer использует Owl для тестирования RPM5 ("CI including coverage tests installing into a chroot", благодаря тому что наши пакеты "sane and sober"), хотя в Owl мы используем RPM4 с патчами.

Owl иногда ставят в VPS на основе KVM, чтобы получить внутри одного такого VPS (и за ту же цену) сразу много OpenVZ-контейнеров.

В качестве извращения, лично я использую Owl (+ еще многое) даже на десктопе и лаптопе. Свежий Firefox запускается в контейнере с CentOS 6. Но это из области eating your own dog food, а также ради прозрачности используемой мной системы для меня же.

Так что немного применений еще осталось, но в целом Owl уже долгое время находится в состоянии длительной поддержки почти без нового развития, и это обновление тому пример.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру