The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

05.01.2015 10:01  Анонсирован Openwall GNU/*/Linux 3.1-stable

Спустя 4 года с момента прошлого значительного выпуска представлена новая стабильная ветка Openwall GNU/*/Linux (Owl) 3.1-stable, компактного дистрибутива GNU/Linux для серверов и виртуализированных окружений, ориентированного на обеспечение высокой безопасности. Owl 3.1-stable теперь будет поддерживаться в качестве стабильной ветки, а дальнейшая разработка продолжится в ветке Owl-current. Поддержка ветки Owl 3.0-stable официально прекращена. Так как в ветке 3.1-stable представлены некоторые важные обновления, в том числе устранение уязвимости CVE-2014-9322, пользователям рекомендуется выполнить обновление до новой ветки. Доступны ISO-образы (560Мб) с Live-системой и инсталлятором, которые подготовлены для архитектур i686 и x86-64. Также доступен шаблон для компоновки базовой системы контейнеров OpenVZ.

Owl может использоваться как для создания высокозащищённых серверных систем, так и для создания базовой начинки изолированных контейнеров и организации работы контейнерной виртуализации на основе OpenVZ. В дистрибутиве по умолчанию применяются передовые методы обеспечения защиты, используются наиболее безопасные настройки (например, по умолчанию не поставляется программ с флагом suid) и поставляются только пакеты, заслуживающие доверия и прошедшие аудит исходного кода. Кроме готовых бинарных пакетов, предоставляются удобные средства для пересборки пакетов из исходных текстов (make buildworld) и формирования iso-образа или начинки виртуального окружения.

В новой ветке:

  • Осуществлён переход на ядро Linux 2.6.18-400.el5.028stab117.2 со встроенной поддержкой OpenVZ, основанное на ядре из состава RHEL 5.11 (в Owl 3.0 использовалось ядро на основе RHEL 5.5).
  • При сборке пакетов по умолчанию включены опции "-Wl,-z,relro" и "-Wl,-z".
  • Число создаваемых устройств /dev/sd* увеличено с 8 до 16.
  • В пакет owl-startup добавлена поддержка VLAN.
  • Добавлены пакеты: usbutils с типовыми утилитами для USB, usb_modeswitch и usb_modeswitch-data для работы с многорежимными USB-устройствами (например, для переключения 3G-модема в режим накопителя), а также пакеты libusb1 и libusb-compat с libusb 1.0 и библиотекой для совместимости со стеком libusb 0.1;
  • Добавлен пакет vconfig для управления созданием устройств 802.1q VLAN;
  • Добавлены пакеты ethtool и bridge-utils для тонкой настройки Ethernet-устройств и управления сетевыми мостами;
  • Добавлена утилита PV ("Pipe Viewer") для наглядной оценки прогресса передачи данных через неименованный канал;
  • В ядре и утилите ping добавлена поддержка не-raw ICMP сокетов;
  • В shadow-utils в /etc/login.defs добавлены опции USERNAME_RELAXED и GROUPNAME_RELAXED, допускающие использование символов в верхнем регистре в именах пользователей и группах.
  • В crypt_blowfish добавлена поддержка префикса "$2b$", используемого в OpenBSD 5.5+.
  • В пакете iptables по умолчанию запрещён резолвинг имён при выполнении команды "service iptables status";
  • Обновлены версии программ, в том числе GnuPG 1.4.18, OpenSSL 1.0.0o, Strace 4.8, John the Ripper 1.8, xinetd 2.3.15, binutils 2.23.51.0.1, tcsh 6.18.01, syslinux 4.05, lftp 4.3.6, gcc 4.6.3, bash 3.1pl23, crypt_blowfish 1.2, iproute2 2.6.38, nmap 5.51, vsftpd 2.3.4, e2fsprogs 1.41.14, tzdata 2014i.


  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: HPC Village от Openwall: доступ к гибридной HPC-системе для Open Source разработчиков
  3. OpenNews: Проект Openwall представил web-интерфейс blists и новый список рассылки kernel-hardening
  4. OpenNews: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
  5. OpenNews: Обновлены патчи ядра Linux от Openwall и подготовлены установочные образы дистрибутива Owl
  6. OpenNews: В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openwall, owl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:25, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]
  • –3 +/
    При сборке пакетов по умолчанию включены опции "-Wl,-z,relro" и "-Wl,-z"
    "эпический вин" и как относится к безопасности не ясно.
     
     
  • 2.11, Аноним (-), 13:54, 05/01/2015 [^] [ответить]    [к модератору]
  • +1 +/
    Тут все расписано https://wiki.debian.org/Hardening
     
  • 2.31, Аноним (-), 18:32, 05/01/2015 [^] [ответить]    [к модератору]
  • +1 +/
    > "эпический вин" и как относится к безопасности не ясно.

    А ты попробуй hardening-check /your/executable - узнаешь для себя много нового.

     
  • 2.35, Аноним (-), 20:10, 05/01/2015 [^] [ответить]    [к модератору]
  • +/
    > и "-Wl,-z"

    :facepalm:

     
  • 1.2, Аноним (-), 11:42, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    штабильность! ©

    > Осуществлён переход на ядро Linux 2.6.18

     
     
  • 2.41, Michael Shigorin (ok), 01:33, 06/01/2015 [^] [ответить]    [к модератору]  
  • +/
    > штабильность! ©
    >> Осуществлён переход на ядро Linux 2.6.18

    С предыдущего, которое тоже "2.6.18" и тоже разве что по надписи на борту.  Вы вообще читаете перед тем, как писать?..

     
  • 1.3, Baz (?), 12:03, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    это уже не просто консерватизм, а диагноз...
     
     
  • 2.4, Andrey Mitrofanov (?), 12:13, 05/01/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    >а диагноз...

    Конечно! Твой рогрессивизм же не межет быть диагнозом. Конечно, нет-нет[I]!![/I]

     
  • 2.27, Аноним (-), 18:04, 05/01/2015 [^] [ответить]     [к модератору]  
  • +/
    Ну так давно известно что самая безопасная система - та которой никто не пользуе... весь текст скрыт [показать]
     
  • 1.5, Сергей (??), 12:20, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Как это сочетать
    ориентированного на обеспечение высокой безопасности и Вместо /bin/sh для интерактивного сеанса задействован /bin/bash...
     
     
  • 2.9, Аноним (-), 13:17, 05/01/2015 [^] [ответить]     [к модератору]  
  • +/
    всё просто фраза Owl может использоваться как для создания высокозащищённых се... весь текст скрыт [показать]
     
  • 2.15, solardiz (ok), 15:21, 05/01/2015 [^] [ответить]     [к модератору]  
  • +4 +/
    Я сначала даже не понял откуда это взялось, но потом нашел у нас в CHANGES-3 1 з... весь текст скрыт [показать]
     
     
  • 3.21, EHLO (?), 16:18, 05/01/2015 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален То есть переход на что-то полегче в bin sh и bash как l... весь текст скрыт [показать]
     
     
  • 4.24, solardiz (ok), 17:40, 05/01/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Четких планов на этот счет нет Нам бы по более важным вопросам определиться с ... весь текст скрыт [показать]
     
     
  • 5.28, Аноним (-), 18:14, 05/01/2015 [^] [ответить]     [к модератору]  
  • +/
    А это потому что все это скриптовое болото писаное левой пяткой никто не пробова... весь текст скрыт [показать]
     
     
  • 6.32, solardiz (ok), 18:50, 05/01/2015 [^] [ответить]     [к модератору]  
  • +3 +/
    Да нет, в скриптах уязвимости то и дело находят И в bash, так скажем, особеннос... весь текст скрыт [показать]
     
     
  • 7.47, Аноним (-), 12:58, 06/01/2015 [^] [ответить]     [к модератору]  
  • +/
    И почему я не удивлен А шеллшок выделяется тем что показал что 1 Нефиг пиха... весь текст скрыт [показать]
     
  • 1.6, commiethebeastie (ok), 12:49, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Число создаваемых устройств /dev/sd* увеличено с 8 до 16.
    >vconfig
    >Linux 2.6.18-400.el5.028stab117.2

    Ностальжи.

     
  • 1.7, pipip (?), 12:56, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Десктоп параноика
     
     
  • 2.16, Аноним (-), 15:38, 05/01/2015 [^] [ответить]     [к модератору]  
  • –2 +/
    Десктоп параноика, батенька, это, например, Qubes OS Ну или более просто, как у... весь текст скрыт [показать]
     
     
  • 3.22, MIRV (?), 16:33, 05/01/2015 [^] [ответить]    [к модератору]  
  • +4 +/
    Батенька в винде любит посидеть? :)
     
     
  • 4.34, Аноним (-), 19:49, 05/01/2015 [^] [ответить]    [к модератору]  
  • +/
    Только поиграть :)
     
  • 2.29, Аноним (-), 18:16, 05/01/2015 [^] [ответить]    [к модератору]  
  • –3 +/
    > Десктоп параноика

    Десктоп с ядром 2.6.18? Ну... если запускать это на той же машине что жидитоба реактос - тогда наверное нормально.

     
  • 1.8, dmnord (ok), 13:02, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    старовато ядрышко, безопасность видимо на самом первом плане!
     
     
  • 2.10, Аноним (-), 13:18, 05/01/2015 [^] [ответить]    [к модератору]  
  • +/
    Новые эксплойты делаются под современный софт и новые ядра.
    Очень оригинальный защитный ход.
     
     
  • 3.17, Аноним (-), 15:39, 05/01/2015 [^] [ответить]    [к модератору]  
  • +4 +/
    > Новые эксплойты делаются под современный софт и новые ядра.
    > Очень оригинальный защитный ход.

    Понабежали школьники, не знающие про RHEL.

     
     
  • 4.30, Аноним (-), 18:16, 05/01/2015 [^] [ответить]    [к модератору]  
  • +/
    > Понабежали школьники, не знающие про RHEL.

    Так нынче рхел 7 уж вышел. А это из пятого еще...

     
  • 3.46, Аноним (-), 11:00, 06/01/2015 [^] [ответить]    [к модератору]  
  • +/
    >Новые эксплойты делаются под современный софт и новые ядра.

    Очень оригинальный защитный ход.
    Security by obscurity?

     
  • 2.19, solardiz (ok), 16:02, 05/01/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Старовато, да Особенно учитывая предстоящий в феврале EOL этой ветки в проекте ... весь текст скрыт [показать]
     
  • 1.12, Аноним (-), 13:56, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    От платных эксплойтов вас и старое ядро не спасет....
     
  • 1.14, solardiz (ok), 15:01, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    На самом деле мы (разработчики) не считаем выход Owl 3.1-stable важной новостью в масштабах OpenNet. ;-) Я слегка удивлен здесь эту новость видеть (сам бы не публиковал). (По-моему, например, выход JtR 1.8.0-jumbo-1, включающий 4800+ коммитов относительно предыдущего jumbo-релиза, был более значим для широкой аудитории. Но о нем здесь новости не было. Возможно, мне следовало ее запостить.)

    За четыре года с выхода Owl 3.0, мы в основном занимались другими проектами, поэтому в Owl и сделано так мало - но так как проект не объявлен завершенным, пользователи вправе ожидать хотя бы самые необходимые обновления с исправлением уязвимостей, и мы такие обновления предоставляем - теперь в новой ветке, включающей также и те немногие и небольшие улучшения, что мы всё-таки внесли в Owl-current за это время. Создание новой ветки позволит внести в Owl-current менее консервативные изменения, при этом не потеряв нечаянно достигнутую стабильность current'а на лето 2014 (момент создания ветки 3.1). Об этом пользователей надо было уведомить, отсюда и анонс в наши списки рассылки и Twitter @Openwall.

    Насчет пользы от и возможного будущего Owl, я недавно высказал некоторые мысли здесь: http://www.openwall.com/lists/owl-users/2014/12/30/1

     
     
  • 2.18, Аноним (-), 15:41, 05/01/2015 [^] [ответить]    [к модератору]  
  • +/
    Это действительно хорошая новость. Также, как и JTR jumbo. Последнего заждались, да)
     
  • 2.20, анон (?), 16:07, 05/01/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    solardiz, новости о jtr из первых рук были бы интересны Для людей не подписанны... весь текст скрыт [показать]
     
     
  • 3.26, solardiz (ok), 17:52, 05/01/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Не тяжело, но я всё же не стану каждое обновление jumbo анонсировать здесь Это ... весь текст скрыт [показать]
     
  • 2.33, myhand (ok), 19:08, 05/01/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    Конечно.  Ключевое слово systemd - отсутствует же.
     
  • 2.42, Michael Shigorin (ok), 01:54, 06/01/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Да уж поважней многого или даже следует - Интересно As to contributing t... весь текст скрыт [показать]
     
     
  • 3.44, solardiz (ok), 09:08, 06/01/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Здесь есть какие-то правила о не публикации старых новостей Пока что я ви... весь текст скрыт [показать]
     
     
  • 4.52, Michael Shigorin (ok), 18:15, 07/01/2015 [^] [ответить]     [к модератору]  
  • +/
    А какие приводятся технические аргументы На localhost systemd нет в силу харак... весь текст скрыт [показать]
     
     
  • 5.54, solardiz (ok), 14:05, 08/01/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Все, приведенные именно в контексте разработки Owl, есть в том треде в owl-users... весь текст скрыт [показать]
     
     
  • 6.55, Michael Shigorin (ok), 16:29, 08/01/2015 [^] [ответить]     [к модератору]  
  • +/
    В этом -- http www openwall com lists owl-users 2014 12 21 2 Размышлял над эт... весь текст скрыт [показать]
     
     
  • 7.59, solardiz (ok), 11:26, 09/01/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Да, в этом треде в сообщениях от galaxy ... весь текст скрыт [показать]
     
  • 2.53, Аноним (-), 18:31, 07/01/2015 [^] [ответить]     [к модератору]  
  • +/
    Было бы неимоверно круто если бы вы это делали Я иногда посматриваю на него, но... весь текст скрыт [показать]
     
  • 1.23, Аноним (-), 17:40, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    >Добавлена утилита PV ("Pipe Viewer") для >наглядной оценки прогресса передачи >данных через неименованный канал;

    Какие данные передаются через пипец, например?

     
     
  • 2.43, Michael Shigorin (ok), 01:57, 06/01/2015 [^] [ответить]     [к модератору]  
  • +/
    Например, удобно с длинным dd 1 заместо размахивания сигналами и прикидки в уме... весь текст скрыт [показать]
     
  • 1.36, Амоним (?), 20:27, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А systemd будет?
     
     
  • 2.37, Аноним (-), 20:57, 05/01/2015 [^] [ответить]    [к модератору]  
  • +/
    Всенепременно. C ядром 2.6.18, да.
     
  • 2.70, Аноним (-), 12:26, 13/01/2015 [^] [ответить]    [к модератору]  
  • +/
    > А systemd будет?

    ненужно

     
  • 1.38, Amnesiac (?), 22:11, 05/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    не понял, а зачем этот древний vconfig?
    разве "ip link add link eth0 name eth0.123 type vlan id 123" не торт?
     
     
  • 2.40, Аноним (-), 01:12, 06/01/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    vconfig add eth0 123
     
     
  • 3.48, Amnesiac (?), 17:35, 06/01/2015 [^] [ответить]     [к модератору]  
  • +/
    И что Типа, короче Тю cat my_vconfig bin sh usage echo usage base... весь текст скрыт [показать]
     
  • 2.45, solardiz (ok), 09:18, 06/01/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > не понял, а зачем этот древний vconfig?

    Legacy. По сути уже не нужен. Если проектом снова заняться всерьез, надо бы переписать скрипты на iproute2.

     
     
  • 3.49, Павел Самсонов (?), 11:48, 07/01/2015 [^] [ответить]    [к модератору]  
  • +/
    Я смотрел ранее openwall, и как это ни странно меня больше всего заинтересовало переведение shadow на tcb, но решение какое то не полное, сделано только для shadow, а для passwd group gshadow нет. У вас собираются это доделывать?
     
     
  • 4.50, solardiz (ok), 12:24, 07/01/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    nitpick JFYI, Openwall - это наша команда У нас несколько своих проектов, а т... весь текст скрыт [показать]
     
     
  • 5.56, Павел Самсонов (?), 18:18, 08/01/2015 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Чесно говоря я так исчитал что это логичный следующий ша... весь текст скрыт [показать]
     
     
  • 6.58, solardiz (ok), 11:23, 09/01/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Ах да, chfn и chsh у нас сейчас поставляются ограниченными только для root а Ра... весь текст скрыт [показать]
     
  • 5.57, Павел Самсонов (?), 18:38, 08/01/2015 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Да я забыл, вы правы, newgrp может только root, это setc... весь текст скрыт [показать]
     
  • 3.51, Michael Shigorin (ok), 18:12, 07/01/2015 [^] [ответить]    [к модератору]  
  • +/
    > Если проектом снова заняться всерьез, надо бы переписать скрипты на iproute2.

    Это уже сделано в etcnet, если что.

     
  • 1.60, Аноним (-), 17:55, 10/01/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Интересует также результат прохождение передовых тестов paxtest http pax grse... весь текст скрыт [показать]
     
     
  • 2.61, solardiz (ok), 19:07, 10/01/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    но далеко не все По ряду показателей Owl сейчас отстает от других hardened ... весь текст скрыт [показать]
     
     
  • 3.63, Аноним (-), 16:58, 12/01/2015 [^] [ответить]     [к модератору]  
  • +/
    PAX Grsecurity занимаются почти исключительно ядром Linux и компилятором GCC ... весь текст скрыт [показать]
     
     
  • 4.65, solardiz (ok), 19:01, 12/01/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Я в курсе Довольно странно мне рассказывать про проект, который исходно появилс... весь текст скрыт [показать]
     
     
  • 5.67, Аноним (-), 10:51, 13/01/2015 [^] [ответить]     [к модератору]  
  • +/
    Респект gradm умеет автоматом создавать политики в сравнении с selinux где пол... весь текст скрыт [показать]
     
  • 3.64, Аноним (-), 17:18, 12/01/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Свяжись с gentoo-hardened на lists gentoo org или gentoo-hardened на irc freeno... весь текст скрыт [показать]
     
     
  • 4.66, solardiz (ok), 19:12, 12/01/2015 [^] [ответить]    [к модератору]  
  • +/
    >> И в рамках какого проекта (или каких проектов)?
    > Свяжись с gentoo-hardened на lists.gentoo.org или #gentoo-hardened на irc.freenode.net

    Мы немного общаемся с конкретными ребятами "из Gentoo", но активно туда что-то продвигать пока не пробовали. Не будучи хотя бы пользователем Gentoo, я не стану сам что-то туда продвигать (разве что могу помочь советом, если этим кто-то займется). Но если кто-то из нашей команды станет - я только за.

    > если дадут добро то интеграция займёт мало времени:
    > 1. разбитие ваших наработок по юзерленду на отдельные патчи к конкретным пакетам,
    > или дополнительные пакеты.

    Наши наработки и так в таком виде. Скорее работа потребуется по портированию на другие (скорее всего, более новые) upstream-версии.

    > 2. добавление в portage ещё одного флага USE owl
    > 3. копирование патчей в соотведствующие пакеты и правка ebuild файлов этих пакетов,
    > чтобы при выборе пользователем флага owl накладывались патчи и проводились другие
    > необходимые действия..

    Думаю, большинство патчей должно применяться без всякого флага.

    Пока что есть неофициальная инструкция по интеграции нашего tcb в Gentoo:

    http://www.openwall.com/tcb/
    http://felinemenace.org/~andrewg/configuring_gentoo_to_use_openwall_tcb/

    (правда, что-то сейчас этот URL не отвечает).

     
     
  • 5.68, Аноним (-), 11:02, 13/01/2015 [^] [ответить]     [к модератору]  
  • +/
    При других обстоятельствах может бы взялся за поддержку ваших патчей в Гентоо, н... весь текст скрыт [показать]
     
     
  • 6.69, solardiz (ok), 11:20, 13/01/2015 [^] [ответить]    [к модератору]  
  • +/
    > Лучше продвигать в апстрим

    Для очевидных фиксов так и делаем. С требующими обсуждения/убеждения вещами - сложнее.

    > Ребята "из Gentoo" часто общаются с разрабами о продвижении патчей в
    > апстримы, возможно помогут.

    Gentoo нам уже немного помогли передав один из слотов в GSoC 2011 (от их организации - нашей) для продвижения hardening-патчей в mainstream ядро, что мы тогда немного и поделали: http://lwn.net/Articles/451405/

    А "общаться с разрабами" всё же лучше непосредственно авторам предлагаемых изменений.

     
     
  • 7.71, Аноним (-), 13:05, 13/01/2015 [^] [ответить]     [к модератору]  
  • +/
    Хотел задать ещё вопрос о ситуации с продвижением патчей grsecurity PaX и Openwa... весь текст скрыт [показать]
     
     
  • 8.72, solardiz (ok), 17:35, 13/01/2015 [^] [ответить]     [к модератору]  
  • +/
    Я когда-то частично это прокомментировал здесь http www opennet ru openforum ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor