The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

16.12.2010 04:38  Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет

В рамках празднования десятилетия проекта представлена версия 3.0 ориентированного на обеспечение высокой безопасности дистрибутива Openwall GNU/*/Linux (для краткости - Owl), разрабатываемого преимущественно в России. Owl - дистрибутив Linux для серверов - компактный, с повышенной безопасностью и встроенной поддержкой OpenVZ-виртуализации. Owl также хорошо подходит в качестве базовой системы для образов виртуальных машин и для встраиваемых систем, а один CD с Owl включает полную live-систему, устанавливаемые пакеты, инсталлятор, полные исходные тексты и даже систему сборки.

Особенности Owl 3.0:

  • Полное отсутствие SUID программ при установке по умолчанию. Вместо них есть небольшое количество SGID-программ, а доступ соответствующих групп не расширяется до root-доступа без дополнительной уязвимости;
  • Добавление поддержки архитектуры x86-64;
  • Переход на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями);
  • Интеграция поддержки OpenVZ (как host, так и guest);
  • Поддержка автоматической сборки ISO-образов и шаблонов OpenVZ ("make iso", "make vztemplate");
  • Поддержка файловой системы ext4 (более того, инсталлятор по умолчанию предлагает использовать именно ее, допуская при этом также выбор ext3 или ext2);
  • Поддержка xz-сжатия (не только команды xz*, но и поддержку в tar, rpm, less, цветной выдаче ls);
  • Обновление версий входящих в поставку программ и небольшое расширение числа поставляемых пакетов, добавлены: smartmontools, mdadm, cdrkit, pciutils, dmidecode, vzctl, vzquota, xz);
  • Улучшенная поддержка оборудования и более очевидный процесс установки;
  • Распознавание и запись информации об отправителе сообщений в syslogd (записываются UID и PID, если отправитель не root);
  • Реализация "черного списка" ключей в OpenSSH (по следам известной проблемы в Debian).

Для загрузки доступны ISO-образы сборок для архитектур i686 (442 Мб) и x86-64 (448 Мб). Отныне в качестве стабильной ветки будет поддерживаться 3.0-stable, а дальнейшие разработки продолжатся в Owl-current. Поддержка ветки Owl 2.0-stable формально прекращена, пользователям рекомендуется обновить свои системы до версии 3.0.

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Обновление программ, разработанных в рамках проекта Openwall
  3. OpenNews: Обновлены патчи ядра Linux от Openwall и подготовлены установочные образы дистрибутива Owl
  4. OpenNews: Вышел Openwall GNU/Linux 2.0
  5. OpenNews: Owl 1.0-release безопасной серверной платформы "Owl"
Автор новости: solardiz
Тип: Программы
Ключевые слова: Openwall, owl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Толя Вихров, 13:14, 16/12/2010 [ответить] [смотреть все]
  • –6 +/
    Странно, написал комментарий, а он куда то пропал обновил страницу - а его нету... весь текст скрыт [показать]
     
     
  • 2.6, uldus, 14:18, 16/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Вероятность появления в Owl бэкдора намного ниже, чем в других Linux-дистрибутив... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, des7, 13:25, 16/12/2010 [ответить] [смотреть все]  
  • +/
    Гарантий что в той или иной системе нет бекдоров никто не даст. В нашей жизни только в морге дают 100 % гарантию.
     
     
  • 2.3, Толя Вихров, 13:27, 16/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    Ну и чем тогда оно лучше OpenBSD В нем, так же как и в OpenBSD, могут быть тро... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, linux_must_die, 13:34, 16/12/2010 [^] [ответить] [смотреть все]  
  • +/
    можно подумать что на компе ты хранишь тонны цп или секрет вечной молодости и вс... весь текст скрыт [показать]
     
     
  • 4.8, Name, 15:57, 16/12/2010 [^] [ответить] [смотреть все]  
  • +2 +/
    вот именно, если надо то к тебе без всяких бэкдоров, а через самые фронтдоры при... весь текст скрыт [показать]
     
  • 3.5, Anonimous, 14:05, 16/12/2010 [^] [ответить] [смотреть все]  
  • –1 +/
    И много Вы видели троянов в OpenBSD А так-то да, могут, конечно - ... весь текст скрыт [показать]
     
     
  • 4.9, Anonimous, 16:16, 16/12/2010 [^] [ответить] [смотреть все]  
  • –3 +/
    А вот как бы (ВНЕЗАПНО!) в соседней новости.
     
  • 1.7, Michael Shigorin, 15:29, 16/12/2010 [ответить] [смотреть все]  
  • +1 +/
    Саша и коллеги -- поздравляю!
     
     
  • 2.27, solardiz, 18:26, 18/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Спасибо за все поздравления Кстати, вот обсуждение на Slashdot при публикации ... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, Иван Иванович Иванов, 16:56, 16/12/2010 [ответить] [смотреть все]  
  • +/
    patchset выпускать перестали. Странно.
     
     
  • 2.11, solardiz, 21:12, 16/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Какой patchset Если речь об -ow патчах к ядру, то они по-прежнему существуют ли... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Иван Иванович Иванов, 02:59, 17/12/2010 [^] [ответить] [смотреть все]  
  • +/
    Вы меня правильно поняли, но меня больше интересуют generic патчи для mainline, ... весь текст скрыт [показать]
     
     
  • 4.14, solardiz, 04:10, 17/12/2010 [^] [ответить] [смотреть все]  
  • +2 +/
    Нам было бы довольно странно и не очень разумно заниматься поддержкой патчей, ко... весь текст скрыт [показать]
     
     
  • 5.26, Иван Иванович Иванов, 23:30, 17/12/2010 [^] [ответить] [смотреть все]  
  • +/
    Спасибо за ответы и вашу работу!

    Вы - очень интересный собеседник.

     
  • 1.12, phpcoder, 22:58, 16/12/2010 [ответить] [смотреть все]  
  • +1 +/
    Молодцы! Поздравляю!
     
  • 1.15, Жирный ублюдок DBA, 09:57, 17/12/2010 [ответить] [смотреть все]  
  • +/
    Отличная новость!
    Скажите, а где можно вытянуть template с OWL для OpenVZ ?
     
     
  • 2.16, solardiz, 10:57, 17/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На любом из наших mirror ов Например ftp ftp ru openwall com pub Owl 3 0-rel... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Жирный ублюдок DBA, 12:36, 17/12/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Спасибо за ответ!
    Буквально за 3 минуты запустил контейнер под proxmox.
    Буду смотреть и тестировать.

    Спасибо Вам за проделанную работу!

     
     
  • 4.20, solardiz, 13:24, 17/12/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    > Буквально за 3 минуты запустил контейнер под proxmox.

    Спасибо за отзыв. Надеюсь, будут еще. :-)

    > Спасибо Вам за проделанную работу!

    Пожалуйста! А как насчет поддержать новость на Slashdot (vote up, comment)? ;-)

    http://slashdot.org/submission/1420798/Openwall-Linux-30-no-SUIDs-anti-log-sp

    Хотелось бы получить критику и от Slashdot'овцев, несмотря на их жестокость. ;-)

     
  • 1.18, neo_teosoft, 12:49, 17/12/2010 [ответить] [смотреть все]  
  • +1 +/
    А как в системе стать root'ом?
    завел пользователя, ввел в группу wheel,
    но su root - bash: /bin/su: Permission denied
    Или надо из под рута поставить sudo ?
     
     
  • 2.19, solardiz, 13:19, 17/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Лучше - зайти root ом с консоли или по ssh Чтобы под root ом делать только то, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Michael Shigorin, 19:20, 17/12/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    > Чтобы под root'ом делать только то, что реально этого требует, надо сделать
    > два отдельных захода - root и не-root.

    Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным.  По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.

    Вообще же да, критика иллюзии скорее справедлива.

     
     
  • 4.24, solardiz, 19:54, 17/12/2010 [^] [ответить] [смотреть все]  
  • +/
    > Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным.

    Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена" людей), которым даем uid 0 - т.е. они фактически root'ы. В Owl именно в связи с этим sulogin заменен на msulogin моей разработки - чтобы даже при загрузке в single user можно было выбрать под каким из root'ов зайти. ;-) Всё остальное работает с подобной схемой без проблем и так. (Кстати, мы предложили msulogin для включения в дистрибутивы Red Hat - соответствующий "баг" у них висит открытым уже много лет.)

    > По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.

    Было, но без подробностей.

     
     
  • 5.25, Michael Shigorin, 21:07, 17/12/2010 [^] [ответить] [смотреть все]  
  • +/
    > Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида
    > r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена"
    > людей), которым даем uid 0 - т.е. они фактически root'ы.

    А, вот как.  Спасибо, toor помню, множественные логины с одинаковым uid знаю, но не состыковалось :)

    > В Owl именно в связи с этим sulogin заменен на msulogin моей
    > разработки - чтобы даже при загрузке в single user можно было
    > выбрать под каким из root'ов зайти. ;-)

    За что отдельное спасибо, в альте к нему привык :-)
    Теперь понятно, почему так.

    >> По крайней мере в окрестностях того треда в своё время не нашёл
    >> обсуждения подобного use case и удивился.
    > Было, но без подробностей.

    Перешлю в sysadmins@altlinux, думаю, многим будет тоже интересно.

     
  • 1.28, Аноним, 17:09, 20/12/2010 [ответить] [смотреть все]  
  • –1 +/
    с повышенной безопасностью если имеется в виду - Переход на RHEL 5 5-подобные ... весь текст скрыт [показать]
     
     
  • 2.29, Michael Shigorin, 17:22, 20/12/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > это не означает повышение безопасности.

    О, никак новый Шнайер залогиниться забыл за работой над очередным whitepaper'ом...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList