The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновлены патчи OpenWall и подготовлены установочные образы ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновлены патчи OpenWall и подготовлены установочные образы ..."  +/
Сообщение от opennews (ok) on 03-Июн-09, 22:57 
Александр Песляк (Solar Designer) представил (http://www.openwall.com/lists/announce/2009/06/03/1) адаптированную для Linux ядра 2.4.37.1 версию повышающих безопасность (http://www.openwall.com/linux/README.shtml) "-ow (http://www.openwall.com/linux/)" (OpenWall) патчей. Прошлая версия "-ow" патчей была выпущена (ftp://ftp.openwall.com/pub/patches/linux/v2.4/historical/) для ядра 2.4.35 в 2007 году. Кроме адаптации для новой версии ядра в патчах переработана возможность запрещения маппинга страниц нулевого размера (CONFIG_HARDEN_PAGE0), которая теперь основана на использовании системного вызова vm.mmap_min_addr. Из других возможностей "-ow" патчей можно отметить защиту от выполнения кода в стеке, ограничение доступа к системным вызовам, разрешающим работу CAP_SYS_RAWIO  процессов в VM86 режиме, защита от создания fifo-каналов и символических ссылок в /tmp, ограничение доступа к /proc, разрушение неиспользуемых сегментов разделяемой памяти и т.д.


Дополнительно сообщается об обновлен...

URL: http://www.openwall.com/lists/announce/2009/06/03/1
Новость: http://www.opennet.me/opennews/art.shtml?num=22017

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновлены патчи OpenWall и подготовлены установочные образы ..."  +/
Сообщение от User294 (ok) on 03-Июн-09, 22:57 
Сразу видно секурити-маньяков.А зачем они пользуют 2.4?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Обновлены патчи OpenWall и подготовлены установочные образы ..."  +2 +/
Сообщение от тоже user on 03-Июн-09, 23:04 
Ну тык они еще не смогли проапгрейдиться до 2.6. Столько кода...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Обновлены патчи OpenWall и подготовлены установочные образы ..."  +/
Сообщение от szh (ok) on 04-Июн-09, 03:56 
по моему ты сам ответил на свой вопрос
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Обновлены патчи OpenWall и подготовлены установочные образы ..."  +/
Сообщение от anonymous (??) on 04-Июн-09, 10:31 
Ога, маньяки:

> В комплект включен новый пакет cdrkit, предназначенный для записи CD/DVD дисков.

Самое нужное для супер-безопасного сервера.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Обновлены патчи Openwall и подготовлены установочные образы ..."  +/
Сообщение от solardiz on 15-Июн-09, 21:30 
По поводу cdrkit, ситуация следующая: да, грязный код и, да, на сервере он обычно не нужен. Но одно из свойств Owl - это то, что система в состоянии сама себя пересобрать, включая создание ISO'шки. Для работы "make iso", нам нужен mkisofs или его аналог. Какое-то время в Owl-current для этого паковался именно отдельно-взятый mkisofs из cdrtools. Теперь мы пакуем cdrkit (клон cdrtools) целиком, с рядом исправлений, т.к. остальная функциональность вообщем-то тоже полезна (записать диск с новой версией Owl или с другой системой на машине с Owl). Дальнейшие перспективы туманны, т.к. и код оставляет желать лучшего и конфликт вокруг кода из cdrtools не радует. Жаль, что полноценных альтернатив нет (или по крайней мере мы о них не знаем).
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Обновлены патчи Openwall и подготовлены установочные образы ..."  +/
Сообщение от Michael Shigorin email(ok) on 04-Ноя-09, 23:15 
Тут пробегал какой-то wodim, но не вникал.

PS: зеркало на ftp://ftp.linux.kiev.ua/pub/Linux/Owl/ всё так же работает. :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Обновлены патчи Openwall и подготовлены установочные образы ..."  +/
Сообщение от solardiz on 04-Ноя-09, 23:42 
>Тут пробегал какой-то wodim, но не вникал.

wodim - одна из программ пакета cdrkit. Если еще точнее, то это переименованный и слегка измененный клон не очень свежей версии cdrecord из cdrtools. Собственно, wodim в Owl-current у нас и есть (вместе с другими программами из cdrkit), но мы этому не очень рады... хотелось бы лучше, а нету. Впрочем, он свою функцию выполняет, CD/DVD пишет.

Кстати, мы отучили cdrkit (наш пакет) от зависимости от cmake для сборки:

http://lists.freedesktop.org/archives/distributions/2009-May...

Альтернатива - dvd+rw-tools - но там нет поддержки CD (только DVD), да и mkisofs всё равно брать откуда-то надо.

>PS: зеркало на ftp://ftp.linux.kiev.ua/pub/Linux/Owl/ всё так же работает. :)

Спасибо! Может, добавим его в список.

Кстати, мы теперь создаем новые ISO'шки Owl-current примерно раз в месяц. На данный момент свежайшие - от 25-го октября. Прямые ссылки на скачивание теперь есть прямо с Owl homepage - http://www.openwall.com/Owl/

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Обновлены патчи Openwall и подготовлены установочные образы ..."  +2 +/
Сообщение от solardiz on 15-Июн-09, 21:24 
Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" - на данный момент, этим занимается Willy Tarreau - и делает это, на мой взгляд, хорошо (как раз так, как это надо для "пожилой" ветки - с одной стороны, очень консервативно, но с другой своевременно включая все действительно важные исправления, в первую очередь уязвимостей, а также отдельные "лёгкие" исправления и дополнения). В README к -ow патчам была и остается заявлена поддержка ветки 2.4 "до конца", так что для меня это вопрос ответственности перед теми, кто на эти патчи "завязался" (хотя вообщем-то сложности с них уйти нет).

Что касается перевода дистрибутива Owl на ядра 2.6 "официально", это надо делать. Скорее всего, мы официально перейдем на ядра OpenVZ (на данный момент это будет ветка "rhel5", а позже вероятно "rhel6") с дополнительными патчами. Пока же официальным ядром на Owl является 2.4.37.1-ow1, хотя фактически многие Owl-системы (вероятно, большинство) работают с ядрами 2.6 (мы сами, когда поддерживаем подобные системы для клиентов, обычно ставим OpenVZ-ядра из ветки "rhel5"). Owl - это главным образом userland - но для начальной установки нужно какое-то ядро, за которое мы "отвечаем". А "пользователь" (админ) уже возьмет то ядро, которое ему нужно и за которое он будет отвечать сам. Это далеко не идеальный подход, но это нынешнее состояние вещей.

P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения некоторых функций -ow патчей.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Обновлены патчи Openwall и подготовлены установочные образы ..."  +2 +/
Сообщение от User294 (??) on 17-Июн-09, 14:28 
>Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" -

Для меня это не странно.Я этот antique вижу каждый день.На роутерах и прочая.Единственный плюс который я от него заметил - сетевые дела на мелких железках с дохлым процом на 2.4 как-то порезвее чем на 2.6.Но все-таки 2.4 часто икается... (отдельные маньяки бэкпортят в него вкусности типа epoll и прочая, но это уж совсем изврат и большая часть народа просто валит на 2.6, даже в embedded :P)

>"пожилой" ветки - с одной стороны, очень консервативно, но с другой
>своевременно включая все действительно важные исправления, в первую очередь уязвимостей,

Да, в ряде случаев гут - всяким там производителям мелких роутеров и т.п..А вот на более мощных и разлапистых системах... лично я не вижу для себя смысла в 2.4 вообще.

>для меня это вопрос ответственности перед теми, кто на эти патчи
>"завязался" (хотя вообщем-то сложности с них уйти нет).

Ответственность - это хорошо.Респекты за подход.

>подобные системы для клиентов, обычно ставим OpenVZ-ядра из ветки "rhel5").

Ну так это ж как-то неправильно.Чем меньше "напильник" потребен тем активнее систему будут использовать.А система где секурити уделено внимание определенно достойна такой участи, а?

> Owl - это главным образом userland

Система без ядра - как авто без движка.Вроде как настоящее, но не ездит.

>Это далеко не идеальный подход, но это нынешнее состояние вещей.

Это достаточно геморройный для админа подход - админ де факто становится наполовину майнтайнером.Хоть в принципе это и не админское дело как правило.Нет, возможно это кому-то нравится, я это могу понять.Но не факт что всем.

>P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения
>некоторых функций -ow патчей.

А что мешает их исправить?На опеннете новости может редактировать кто угодно (изменения апрувятся модераторами).И врядли кто-то поправит новость лучше вас...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Обновлены патчи Openwall и подготовлены установочные образы ..."  +/
Сообщение от solardiz on 17-Июн-09, 21:28 
В целом, я со всем, сказанным User294 согласен. Небольшие комментарии:

> Система без ядра - как авто без движка. Вроде как настоящее, но не ездит.

Не всегда так. Например, при использовании OpenVZ, большинство userland'ов своего ядра не имеют - ядро одно на физический сервер.

>>P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения
>>некоторых функций -ow патчей.
>
>А что мешает их исправить?На опеннете новости может редактировать кто угодно (изменения
>апрувятся модераторами).И врядли кто-то поправит новость лучше вас...

Я только что исправил явные ошибки, сохранив основной текст новости. Мои изменения ждут публикации.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Обновлены патчи Openwall и подготовлены установочные образы ..."  +/
Сообщение от solardiz on 22-Июн-09, 17:32 
Прошло 5 дней, мои исправления текста новости так и не опубликованы... В следующий раз не буду тратить время.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Обновлены патчи Openwall и подготовлены установочные образы ..."  +/
Сообщение от Maxim Chirkov email(ok) on 22-Июн-09, 20:51 
>Прошло 5 дней, мои исправления текста новости так и не опубликованы... В
>следующий раз не буду тратить время.

Прошу прощения, правка мимо глаз пролетела. Нашел в архивах и подтвердил изменения.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Обновлены патчи OpenWall и подготовлены установочные образы ..."  +/
Сообщение от daevy on 04-Июн-09, 06:03 
кто юзал? это как-то отличается от hardened-патчей?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Обновлены патчи OpenWall и подготовлены установочные образы ..."  –1 +/
Сообщение от СуперАноним on 04-Июн-09, 06:50 
Некрофилы.
Ничем это 2.4 не безопаснее 2.6

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Обновлены патчи OpenWall и подготовлены установочные образы ..."  +1 +/
Сообщение от SnoWLight on 04-Июн-09, 08:54 
Обоснуй
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Обновлены патчи Openwall и подготовлены установочные образы ..."  +/
Сообщение от solardiz on 15-Июн-09, 21:42 
С точки зрения безопасности я бы сравнивал не столько 2.4 и 2.6 "по сути", сколько их нынешний статус. 2.4 находится в состоянии консервативной поддержки - при этом маловероятно, что будут привнесены _новые_ уязвимости между очередными релизами 2.4.x. 2.6 же активно развивается, и новые уязвимости то и дело привносятся, а затем на сколько-то minor release'ов позже исправляются. Особое внимание заслуживают "стабильные ветки" 2.6 - там ситуация в этом плане лучше. Сюда в частности относится ветка в RHEL 5 и соответствующая ветка OpenVZ. Я не говорю, что на серверах следует применять именно 2.4 (на новых скорее нет - драйвера отстали) или именно "стабильные ветки" 2.6 (кстати, в RHEL 5 и в OpenVZ есть back-port'ы драйверов). Можно и свежие 2.6, если учесть что для них регулярные обновления более важны. Каждый решит для себя и для конкретного случая.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Обновлены патчи OpenWall и подготовлены установочные образы ..."  +/
Сообщение от renton email(??) on 04-Июн-09, 12:32 
Проект замечательный, но сил и средств вывести его на уровень Grsecurity у них нет. Жаль.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Обновлены патчи Openwall и подготовлены установочные образы ..."  +1 +/
Сообщение от solardiz on 15-Июн-09, 22:04 
Насчет "вывода на уровень Grsecurity" - таких планов не было и нет, и дело тут не в силах и средствах (их действительно меньше, чем хотелось бы, но они нужны нам для других целей). Уж насколько меня где-то в 1997-1999 упрекали за "сомнительные" (не совершенные) hardening measures в -ow патчах (в том числе до того как патчи стали так называться) - хотя в этом и суть hardening'а, и многие, кто упрекал, позже это поняли (схожие изменения вошли в ряд систем) - но та "сборная солянка", которая получилась у grsecurity - это даже на мой тогдаший вкус было бы слишком. К тому же, grsecurity уже давно существует, так что я не вижу смысла нам дублировать чью-то работу ("выйдя на тот же уровень"). Что же касается "маркетинга", тут вопрос спорный. Возможно, был бы смысл "продвигать" -ow патчи (для начала придумать им название). Конечно, был и есть смысл перенести их на ядра 2.6 (без "излишеств") - тут нам действительно не хватило ресурсов, учитывая другие задачи - мы сосредоточились на userland'е.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Обновлены патчи ядра Linux от Openwall и подготовлены устано..."  +/
Сообщение от Den email(??) on 17-Фев-10, 21:30 
как мне на основе openwall сделать web сервер? (NS+apache+mysql+php ...)
есть ли рекомендации разработчиков по установке\настройке?

или просто тупо брать пакеты под red hat и погнали?
очень мало инфы вижу в сети касательно owl как сервера.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "DNS и web-сервер на основе Owl"  +/
Сообщение от solardiz on 18-Фев-10, 14:50 
>как мне на основе openwall сделать web сервер? (NS+apache+mysql+php ...)
>есть ли рекомендации разработчиков по установке\настройке?

Опубликованных рекомендаций разработчиков в каком-либо централизованном месте (т.е. не отдельные ответы на отдельные вопросы, такие как этот), увы, пока нет. Планируются на после-ближайшего-релиза.

По DNS-серверу: в Owl входит пакет BIND, его и использовать - настройки под /var/lib/bind/etc/, запуск/включение с помощью "service named start", "chkconfig named on" (т.е. как это обычно делается на RH-подобных дистрибутивах). См. также "man control", выдачу  команды "control" и настройки bind-debug и bind-slave там. С точки зрения безопасности, named по умолчанию chroot'ится и работает от выделенного псевдо-пользователя. Так что необходимости в использовании еще и отдельного контейнера нет, но на практике мы сами обычно создаем-таки контейнеры для DNS-серверов - для снижения рисков при администрировании, для ограничения и гарантии ресурсов, а также от атак "в другую сторону" (например, если держать DNS-сервер в одном контейнере с виртуальным веб-хостингом для клиентских сайтов, то возможный "взлом" root'а в этом контейнере через программы для хостинга приводил бы к непосредственному доступу и к DNS-зонам, что нежелательно).

По Apache, MySQL, PHP: возможны варианты. У нас есть свои сборки, но мы их пока не публикуем (это - в планах). Пользователи Owl (сисадмины) могут либо тоже делать свои сборки (ставить под /usr/local, /opt, или собирать/ставить RPM-пакеты), либо ставить "чужие" пакеты, совместимые с Owl (CentOS 4 и т.п.)

>или просто тупо брать пакеты под red hat и погнали?

Это один из вариантов, хотя мы сами так не делаем. Мы используем CentOS'овые или другие чужие сборки для менее существенных или более тяжелых вещей. Например, пакет emacs-nox можно брать из CentOS, а сборку Sun JRE - официальную от Sun - если эти вещи на какой-то системе оказались нужны.

>очень мало инфы вижу в сети касательно owl как сервера.

К сожалению, да. Вопросы нам обычно задают "лично", а не в owl-users, несмотря на явную просьбу задавать их именно там (на английском, хотя можно создать и русскоязычный список рассылки если появится достаточный "спрос").

Есть черновик User Guide по Owl - его надо подготовить к публикации и опубликовать. Это одна из наших текущих задач по Owl.

А пользователи Owl могли бы и сами активнее делиться опытом. У нас есть wiki, доступная для редактирования всем (после регистрации). Есть список рассылки owl-users, где можно и нужно анонсировать новые "статьи" на wiki. Только пока что это мало кто делает. Частично это связано с тем что у нас просто мало пользователей, частично с тем какие это пользователи (Owl очень избирательна в выборе своих пользователей/сисадминов...) Те, кто сам разобрался и не встретил особых сложностей, не очень склонны "просто так" делиться опытом (не в ответ на чью-то просьбу).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру