The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.12.2010 04:38  Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет

В рамках празднования десятилетия проекта представлена версия 3.0 ориентированного на обеспечение высокой безопасности дистрибутива Openwall GNU/*/Linux (для краткости - Owl), разрабатываемого преимущественно в России. Owl - дистрибутив Linux для серверов - компактный, с повышенной безопасностью и встроенной поддержкой OpenVZ-виртуализации. Owl также хорошо подходит в качестве базовой системы для образов виртуальных машин и для встраиваемых систем, а один CD с Owl включает полную live-систему, устанавливаемые пакеты, инсталлятор, полные исходные тексты и даже систему сборки.

Особенности Owl 3.0:

  • Полное отсутствие SUID программ при установке по умолчанию. Вместо них есть небольшое количество SGID-программ, а доступ соответствующих групп не расширяется до root-доступа без дополнительной уязвимости;
  • Добавление поддержки архитектуры x86-64;
  • Переход на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями);
  • Интеграция поддержки OpenVZ (как host, так и guest);
  • Поддержка автоматической сборки ISO-образов и шаблонов OpenVZ ("make iso", "make vztemplate");
  • Поддержка файловой системы ext4 (более того, инсталлятор по умолчанию предлагает использовать именно ее, допуская при этом также выбор ext3 или ext2);
  • Поддержка xz-сжатия (не только команды xz*, но и поддержку в tar, rpm, less, цветной выдаче ls);
  • Обновление версий входящих в поставку программ и небольшое расширение числа поставляемых пакетов, добавлены: smartmontools, mdadm, cdrkit, pciutils, dmidecode, vzctl, vzquota, xz);
  • Улучшенная поддержка оборудования и более очевидный процесс установки;
  • Распознавание и запись информации об отправителе сообщений в syslogd (записываются UID и PID, если отправитель не root);
  • Реализация "черного списка" ключей в OpenSSH (по следам известной проблемы в Debian).

Для загрузки доступны ISO-образы сборок для архитектур i686 (442 Мб) и x86-64 (448 Мб). Отныне в качестве стабильной ветки будет поддерживаться 3.0-stable, а дальнейшие разработки продолжатся в Owl-current. Поддержка ветки Owl 2.0-stable формально прекращена, пользователям рекомендуется обновить свои системы до версии 3.0.

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Обновление программ, разработанных в рамках проекта Openwall
  3. OpenNews: Обновлены патчи ядра Linux от Openwall и подготовлены установочные образы дистрибутива Owl
  4. OpenNews: Вышел Openwall GNU/Linux 2.0
  5. OpenNews: Owl 1.0-release безопасной серверной платформы "Owl"
Автор новости: solardiz
Тип: Программы
Ключевые слова: Openwall, owl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Толя Вихров (ok), 13:14, 16/12/2010 [ответить] [показать ветку] [···]    [к модератору]
  • –6 +/
    Странно, написал комментарий, а он куда то пропал: обновил страницу - а его нету О_о
    Напишу еще раз: а в этом Openwall точно нету бэкдоров ?
     
     
  • 2.6, uldus (ok), 14:18, 16/12/2010 [^] [ответить]    [к модератору]
  • +2 +/
    > Напишу еще раз: а в этом Openwall точно нету бэкдоров ?

    Вероятность появления в Owl бэкдора намного ниже, чем в других Linux-дистрибутивах так как команда у проекта достаточно маленькая и сплоченная. Все кто участвует в разработке Owl имеют большой опыт и заработанный за годы упорной работы авторитет. Уж чьему коду я могу доверять, так это коду Solar Designer-а, который зарекомендовал себя как порядочный и принципиальный человек. Таким сколько не предлагай благ в обмен на подлость, они откажутся, так как чистая совесть и истина все равно дороже.

    Весь свой и чужой код подвергается жесткому аудиту, в процессе которого не один десяток новых дыр был найден. Отчасти небольшое число пакетов в дистрибутиве связано как раз с тем, что пропускается только прошедший аудит код.

     
  • 1.2, des7 (?), 13:25, 16/12/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Гарантий что в той или иной системе нет бекдоров никто не даст. В нашей жизни только в морге дают 100 % гарантию.
     
     
  • 2.3, Толя Вихров (ok), 13:27, 16/12/2010 [^] [ответить]    [к модератору]
  • –5 +/
    Ну и чем тогда оно лучше OpenBSD ? В нем, так же как и в OpenBSD, могут быть трояны.
     
     
  • 3.4, linux_must_die (ok), 13:34, 16/12/2010 [^] [ответить]    [к модератору]
  • +/
    можно подумать что на компе ты хранишь тонны цп или секрет вечной молодости и все хотят у тебя его украсть. какая разница, есть там бэкдоры или нет? шанс что тебя поломают через такой бэкдор стремится к нулю.
     
     
  • 4.8, Name (?), 15:57, 16/12/2010 [^] [ответить]    [к модератору]  
  • +2 +/
    вот именно, если надо то к тебе без всяких бэкдоров, а через самые фронтдоры придут, вынут лом и ты сам всё покажешь :)
     
  • 3.5, Anonimous (?), 14:05, 16/12/2010 [^] [ответить]    [к модератору]  
  • –1 +/
    >> В нем, так же как и в OpenBSD, могут быть трояны.

    И много Вы видели троянов в OpenBSD?
    А так-то да, могут, конечно. :-)

     
     
  • 4.9, Anonimous (?), 16:16, 16/12/2010 [^] [ответить]    [к модератору]  
  • –3 +/
    А вот как бы (ВНЕЗАПНО!) в соседней новости.
     
  • 1.7, Michael Shigorin (ok), 15:29, 16/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Саша и коллеги -- поздравляю!
     
     
  • 2.27, solardiz (ok), 18:26, 18/12/2010 [^] [ответить]    [к модератору]  
  • +/
    Спасибо за все поздравления!

    Кстати, вот обсуждение на Slashdot (при публикации модератором, URL изменился - тот, что я постил раньше, теперь соответствует черновому/архивному варианту новости):

    http://linux.slashdot.org/story/10/12/17/203204/Openwall-Linux-30-mdash-No-SU

    103 комментария (и их количество еще растет), из которых дельных мало и их найти сложно - они где-то там прячутся, но они есть (надеюсь на помощь в модерировании тамошней ветки сообществом). ;-)

     
  • 1.10, Иван Иванович Иванов (?), 16:56, 16/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    patchset выпускать перестали. Странно.
     
     
  • 2.11, solardiz (ok), 21:12, 16/12/2010 [^] [ответить]    [к модератору]  
  • +2 +/
    > patchset выпускать перестали. Странно.

    Какой patchset? Если речь об -ow патчах к ядру, то они по-прежнему существуют лишь для ядер до 2.4 - для тех кто их все еще использует. К Owl это отношения уже не имеет: поддержку ветки 2.0-stable мы сейчас прекратили, а в новых ветках - ядра на основе RHEL5+OpenVZ. Тем не менее, я собираюсь выпустить 2.4.37.11-ow1, когда 2.4.37.11 выйдет (ожидаются более важные исправления, чем в .10). Появится тут:

    http://www.openwall.com/linux/

    (сейчас там раздается 2.4.37.9-ow1).

    Что касается патча к ядру на основе RHEL5+OpenVZ из Owl, его при желании можно взять тут:

    http://cvsweb.openwall.com/cgi/cvsweb.cgi/Owl/packages/kernel/

    (а также в native.tar.gz или через anoncvs).

    На данный момент, там есть некоторые security fix'ы из ядра для RHEL 5.6 и не только, еще не вошедшие в ядро, выпущенное OpenVZ. Т.е. мы чуточку впереди в этом плане. ;-)

    Возвращаясь к проекту Owl, напоминаю что в нем основные усилия идут на userland, а не на ядро. Кстати, userland от Owl работает и со "сторонними" ядрами 2.6.

     
     
  • 3.13, Иван Иванович Иванов (?), 02:59, 17/12/2010 [^] [ответить]    [к модератору]  
  • +/
    Вы меня правильно поняли, но меня больше интересуют generic патчи для mainline, нежели патчи для RHEL.

    RHEL5 ядро настолько старо, что обычно 75% уязвимостей его обходят.

     
     
  • 4.14, solardiz (ok), 04:10, 17/12/2010 [^] [ответить]     [к модератору]  
  • +2 +/
    Нам было бы довольно странно и не очень разумно заниматься поддержкой патчей, ко... весь текст скрыт [показать]
     
     
  • 5.26, Иван Иванович Иванов (?), 23:30, 17/12/2010 [^] [ответить]    [к модератору]  
  • +/
    Спасибо за ответы и вашу работу!

    Вы - очень интересный собеседник.

     
  • 1.12, phpcoder (ok), 22:58, 16/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Молодцы! Поздравляю!
     
  • 1.15, Жирный ублюдок DBA (?), 09:57, 17/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Отличная новость!
    Скажите, а где можно вытянуть template с OWL для OpenVZ ?
     
     
  • 2.16, solardiz (ok), 10:57, 17/12/2010 [^] [ответить]    [к модератору]  
  • +/
    > Скажите, а где можно вытянуть template с OWL для OpenVZ ?

    На любом из наших mirror'ов. Например:

    ftp://ftp.ru.openwall.com/pub/Owl/3.0-release/vztemplate/
    ftp://ftp.ru.openwall.com/pub/Owl/current/vztemplate/

    (пока что 3.0-release и current идентичны, но скоро они начнут отличаться, а еще появится 3.0-stable там же).

    Давайте поднимем тему Owl 3.0 на Slashdot: http://slashdot.org/submission/1420798/Openwall-Linux-30-no-SUIDs-anti-log-sp

     
     
  • 3.17, Жирный ублюдок DBA (?), 12:36, 17/12/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    Спасибо за ответ!
    Буквально за 3 минуты запустил контейнер под proxmox.
    Буду смотреть и тестировать.

    Спасибо Вам за проделанную работу!

     
     
  • 4.20, solardiz (ok), 13:24, 17/12/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    > Буквально за 3 минуты запустил контейнер под proxmox.

    Спасибо за отзыв. Надеюсь, будут еще. :-)

    > Спасибо Вам за проделанную работу!

    Пожалуйста! А как насчет поддержать новость на Slashdot (vote up, comment)? ;-)

    http://slashdot.org/submission/1420798/Openwall-Linux-30-no-SUIDs-anti-log-sp

    Хотелось бы получить критику и от Slashdot'овцев, несмотря на их жестокость. ;-)

     
  • 1.18, neo_teosoft (?), 12:49, 17/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А как в системе стать root'ом?
    завел пользователя, ввел в группу wheel,
    но su root - bash: /bin/su: Permission denied
    Или надо из под рута поставить sudo ?
     
     
  • 2.19, solardiz (ok), 13:19, 17/12/2010 [^] [ответить]    [к модератору]  
  • +/
    > А как в системе стать root'ом?

    Лучше - зайти root'ом с консоли или по ssh. Чтобы под root'ом делать только то, что реально этого требует, надо сделать два отдельных захода - root и не-root. su и sudo мы использовать не рекомендуем. Это распространенное заблуждение, что заход под пользователем и затем su как-то безопаснее, чем заход под root. Обычно верно обратное.

    http://www.openwall.com/lists/owl-users/2004/10/20/6

    > но su root - bash: /bin/su: Permission denied

    По умолчанию, su доступен лишь для переключения от root'а под пользователя, но не обратно. Если очень хочется все же соблюсти абсурдную традицию, то можно сказать:

    control su wheelonly

    После этого su станет доступен группе wheel. Более этого, эта настройка будет сохраняться при обновлениях системы, так что делать ее заново после обновления не придется. Рекомендую также запустить просто "control" (выдаст список подобных настроек) и "man control".

    > Или надо из под рута поставить sudo ?

    Можно, но не советую (за очень редкими исключениями).

    (Если совсем честно, то и для su я иногда делаю исключения - в частности, на desktop-системе с X - но Owl для этого не предназначена.)

     
     
  • 3.21, Michael Shigorin (ok), 19:20, 17/12/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    > Чтобы под root'ом делать только то, что реально этого требует, надо сделать
    > два отдельных захода - root и не-root.

    Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным.  По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.

    Вообще же да, критика иллюзии скорее справедлива.

     
     
  • 4.24, solardiz (ok), 19:54, 17/12/2010 [^] [ответить]    [к модератору]  
  • +/
    > Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным.

    Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена" людей), которым даем uid 0 - т.е. они фактически root'ы. В Owl именно в связи с этим sulogin заменен на msulogin моей разработки - чтобы даже при загрузке в single user можно было выбрать под каким из root'ов зайти. ;-) Всё остальное работает с подобной схемой без проблем и так. (Кстати, мы предложили msulogin для включения в дистрибутивы Red Hat - соответствующий "баг" у них висит открытым уже много лет.)

    > По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.

    Было, но без подробностей.

     
     
  • 5.25, Michael Shigorin (ok), 21:07, 17/12/2010 [^] [ответить]    [к модератору]  
  • +/
    > Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида
    > r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена"
    > людей), которым даем uid 0 - т.е. они фактически root'ы.

    А, вот как.  Спасибо, toor помню, множественные логины с одинаковым uid знаю, но не состыковалось :)

    > В Owl именно в связи с этим sulogin заменен на msulogin моей
    > разработки - чтобы даже при загрузке в single user можно было
    > выбрать под каким из root'ов зайти. ;-)

    За что отдельное спасибо, в альте к нему привык :-)
    Теперь понятно, почему так.

    >> По крайней мере в окрестностях того треда в своё время не нашёл
    >> обсуждения подобного use case и удивился.
    > Было, но без подробностей.

    Перешлю в sysadmins@altlinux, думаю, многим будет тоже интересно.

     
  • 1.28, Аноним (-), 17:09, 20/12/2010 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    с повышенной безопасностью если имеется в виду - Переход на RHEL 5 5-подобные ... весь текст скрыт [показать]
     
     
  • 2.29, Michael Shigorin (ok), 17:22, 20/12/2010 [^] [ответить]    [к модератору]  
  • +/
    > это не означает повышение безопасности.

    О, никак новый Шнайер залогиниться забыл за работой над очередным whitepaper'ом...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor