The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

05.01.2015 10:01  Анонсирован Openwall GNU/*/Linux 3.1-stable

Спустя 4 года с момента прошлого значительного выпуска представлена новая стабильная ветка Openwall GNU/*/Linux (Owl) 3.1-stable, компактного дистрибутива GNU/Linux для серверов и виртуализированных окружений, ориентированного на обеспечение высокой безопасности. Owl 3.1-stable теперь будет поддерживаться в качестве стабильной ветки, а дальнейшая разработка продолжится в ветке Owl-current. Поддержка ветки Owl 3.0-stable официально прекращена. Так как в ветке 3.1-stable представлены некоторые важные обновления, в том числе устранение уязвимости CVE-2014-9322, пользователям рекомендуется выполнить обновление до новой ветки. Доступны ISO-образы (560Мб) с Live-системой и инсталлятором, которые подготовлены для архитектур i686 и x86-64. Также доступен шаблон для компоновки базовой системы контейнеров OpenVZ.

Owl может использоваться как для создания высокозащищённых серверных систем, так и для создания базовой начинки изолированных контейнеров и организации работы контейнерной виртуализации на основе OpenVZ. В дистрибутиве по умолчанию применяются передовые методы обеспечения защиты, используются наиболее безопасные настройки (например, по умолчанию не поставляется программ с флагом suid) и поставляются только пакеты, заслуживающие доверия и прошедшие аудит исходного кода. Кроме готовых бинарных пакетов, предоставляются удобные средства для пересборки пакетов из исходных текстов (make buildworld) и формирования iso-образа или начинки виртуального окружения.

В новой ветке:

  • Осуществлён переход на ядро Linux 2.6.18-400.el5.028stab117.2 со встроенной поддержкой OpenVZ, основанное на ядре из состава RHEL 5.11 (в Owl 3.0 использовалось ядро на основе RHEL 5.5).
  • При сборке пакетов по умолчанию включены опции "-Wl,-z,relro" и "-Wl,-z".
  • Число создаваемых устройств /dev/sd* увеличено с 8 до 16.
  • В пакет owl-startup добавлена поддержка VLAN.
  • Добавлены пакеты: usbutils с типовыми утилитами для USB, usb_modeswitch и usb_modeswitch-data для работы с многорежимными USB-устройствами (например, для переключения 3G-модема в режим накопителя), а также пакеты libusb1 и libusb-compat с libusb 1.0 и библиотекой для совместимости со стеком libusb 0.1;
  • Добавлен пакет vconfig для управления созданием устройств 802.1q VLAN;
  • Добавлены пакеты ethtool и bridge-utils для тонкой настройки Ethernet-устройств и управления сетевыми мостами;
  • Добавлена утилита PV ("Pipe Viewer") для наглядной оценки прогресса передачи данных через неименованный канал;
  • В ядре и утилите ping добавлена поддержка не-raw ICMP сокетов;
  • В shadow-utils в /etc/login.defs добавлены опции USERNAME_RELAXED и GROUPNAME_RELAXED, допускающие использование символов в верхнем регистре в именах пользователей и группах.
  • В crypt_blowfish добавлена поддержка префикса "$2b$", используемого в OpenBSD 5.5+.
  • В пакете iptables по умолчанию запрещён резолвинг имён при выполнении команды "service iptables status";
  • Обновлены версии программ, в том числе GnuPG 1.4.18, OpenSSL 1.0.0o, Strace 4.8, John the Ripper 1.8, xinetd 2.3.15, binutils 2.23.51.0.1, tcsh 6.18.01, syslinux 4.05, lftp 4.3.6, gcc 4.6.3, bash 3.1pl23, crypt_blowfish 1.2, iproute2 2.6.38, nmap 5.51, vsftpd 2.3.4, e2fsprogs 1.41.14, tzdata 2014i.


  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: HPC Village от Openwall: доступ к гибридной HPC-системе для Open Source разработчиков
  3. OpenNews: Проект Openwall представил web-интерфейс blists и новый список рассылки kernel-hardening
  4. OpenNews: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
  5. OpenNews: Обновлены патчи ядра Linux от Openwall и подготовлены установочные образы дистрибутива Owl
  6. OpenNews: В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openwall, owl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:25, 05/01/2015 [ответить] [смотреть все]
  • –3 +/
    При сборке пакетов по умолчанию включены опции -Wl,-z,relro и -Wl,-z эпичес... весь текст скрыт [показать]
     
     
  • 2.11, Аноним, 13:54, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Тут все расписано https://wiki.debian.org/Hardening
     
  • 2.31, Аноним, 18:32, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А ты попробуй hardening-check your executable - узнаешь для себя много нового ... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, Аноним, 20:10, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > и "-Wl,-z"

    :facepalm:

     
  • 1.2, Аноним, 11:42, 05/01/2015 [ответить] [смотреть все]  
  • +3 +/
    штабильность! ©

    > Осуществлён переход на ядро Linux 2.6.18

     
     
  • 2.41, Michael Shigorin, 01:33, 06/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    С предыдущего, которое тоже 2 6 18 и тоже разве что по надписи на борту Вы в... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Baz, 12:03, 05/01/2015 [ответить] [смотреть все]  
  • –2 +/
    это уже не просто консерватизм, а диагноз...
     
     
  • 2.4, Andrey Mitrofanov, 12:13, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Конечно Твой рогрессивизм же не межет быть диагнозом Конечно, нет-нет I I ... весь текст скрыт [показать] [показать ветку]
     
  • 2.27, Аноним, 18:04, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну так давно известно что самая безопасная система - та которой никто не пользуе... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Сергей, 12:20, 05/01/2015 [ответить] [смотреть все]  
  • –1 +/
    Как это сочетать
    ориентированного на обеспечение высокой безопасности и Вместо /bin/sh для интерактивного сеанса задействован /bin/bash...
     
     
  • 2.9, Аноним, 13:17, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    всё просто фраза Owl может использоваться как для создания высокозащищённых се... весь текст скрыт [показать] [показать ветку]
     
  • 2.15, solardiz, 15:21, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Я сначала даже не понял откуда это взялось, но потом нашел у нас в CHANGES-3 1 з... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, EHLO, 16:18, 05/01/2015 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален То есть переход на что-то полегче в bin sh и bash как l... весь текст скрыт [показать]
     
     
  • 4.24, solardiz, 17:40, 05/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Четких планов на этот счет нет Нам бы по более важным вопросам определиться с ... весь текст скрыт [показать]
     
     
  • 5.28, Аноним, 18:14, 05/01/2015 [^] [ответить] [смотреть все]  
  • +/
    А это потому что все это скриптовое болото писаное левой пяткой никто не пробова... весь текст скрыт [показать]
     
     
  • 6.32, solardiz, 18:50, 05/01/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    Да нет, в скриптах уязвимости то и дело находят И в bash, так скажем, особеннос... весь текст скрыт [показать]
     
     
  • 7.47, Аноним, 12:58, 06/01/2015 [^] [ответить] [смотреть все]  
  • +/
    И почему я не удивлен А шеллшок выделяется тем что показал что 1 Нефиг пиха... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.6, commiethebeastie, 12:49, 05/01/2015 [ответить] [смотреть все]  
  • +/
    >Число создаваемых устройств /dev/sd* увеличено с 8 до 16.
    >vconfig
    >Linux 2.6.18-400.el5.028stab117.2

    Ностальжи.

     
  • 1.7, pipip, 12:56, 05/01/2015 [ответить] [смотреть все]  
  • +/
    Десктоп параноика
     
     
  • 2.16, Аноним, 15:38, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Десктоп параноика, батенька, это, например, Qubes OS Ну или более просто, как у... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, MIRV, 16:33, 05/01/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    Батенька в винде любит посидеть? :)
     
     
  • 4.34, Аноним, 19:49, 05/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Только поиграть :)
     
  • 2.29, Аноним, 18:16, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Десктоп с ядром 2 6 18 Ну если запускать это на той же машине что жидитоба р... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, dmnord, 13:02, 05/01/2015 [ответить] [смотреть все]  
  • +/
    старовато ядрышко, безопасность видимо на самом первом плане!
     
     
  • 2.10, Аноним, 13:18, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Новые эксплойты делаются под современный софт и новые ядра Очень оригинальный з... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 15:39, 05/01/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    Понабежали школьники, не знающие про RHEL ... весь текст скрыт [показать]
     
     
  • 4.30, Аноним, 18:16, 05/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Так нынче рхел 7 уж вышел А это из пятого еще ... весь текст скрыт [показать]
     
  • 3.46, Аноним, 11:00, 06/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Очень оригинальный защитный ход Security by obscurity ... весь текст скрыт [показать]
     
  • 2.19, solardiz, 16:02, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Старовато, да Особенно учитывая предстоящий в феврале EOL этой ветки в проекте ... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Аноним, 13:56, 05/01/2015 [ответить] [смотреть все]  
  • –1 +/
    От платных эксплойтов вас и старое ядро не спасет....
     
  • 1.14, solardiz, 15:01, 05/01/2015 [ответить] [смотреть все]  
  • +6 +/
    На самом деле мы (разработчики) не считаем выход Owl 3.1-stable важной новостью в масштабах OpenNet. ;-) Я слегка удивлен здесь эту новость видеть (сам бы не публиковал). (По-моему, например, выход JtR 1.8.0-jumbo-1, включающий 4800+ коммитов относительно предыдущего jumbo-релиза, был более значим для широкой аудитории. Но о нем здесь новости не было. Возможно, мне следовало ее запостить.)

    За четыре года с выхода Owl 3.0, мы в основном занимались другими проектами, поэтому в Owl и сделано так мало - но так как проект не объявлен завершенным, пользователи вправе ожидать хотя бы самые необходимые обновления с исправлением уязвимостей, и мы такие обновления предоставляем - теперь в новой ветке, включающей также и те немногие и небольшие улучшения, что мы всё-таки внесли в Owl-current за это время. Создание новой ветки позволит внести в Owl-current менее консервативные изменения, при этом не потеряв нечаянно достигнутую стабильность current'а на лето 2014 (момент создания ветки 3.1). Об этом пользователей надо было уведомить, отсюда и анонс в наши списки рассылки и Twitter @Openwall.

    Насчет пользы от и возможного будущего Owl, я недавно высказал некоторые мысли здесь: http://www.openwall.com/lists/owl-users/2014/12/30/1

     
     
  • 2.18, Аноним, 15:41, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это действительно хорошая новость Также, как и JTR jumbo Последнего заждались,... весь текст скрыт [показать] [показать ветку]
     
  • 2.20, анон, 16:07, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    solardiz, новости о jtr из первых рук были бы интересны Для людей не подписанны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, solardiz, 17:52, 05/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Не тяжело, но я всё же не стану каждое обновление jumbo анонсировать здесь Это ... весь текст скрыт [показать]
     
  • 2.33, myhand, 19:08, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Конечно.  Ключевое слово systemd - отсутствует же.
     
  • 2.42, Michael Shigorin, 01:54, 06/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Да уж поважней многого или даже следует - Интересно As to contributing t... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, solardiz, 09:08, 06/01/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Здесь есть какие-то правила о не публикации старых новостей Пока что я ви... весь текст скрыт [показать]
     
     
  • 4.52, Michael Shigorin, 18:15, 07/01/2015 [^] [ответить] [смотреть все]  
  • +/
    А какие приводятся технические аргументы На localhost systemd нет в силу харак... весь текст скрыт [показать]
     
     
  • 5.54, solardiz, 14:05, 08/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Все, приведенные именно в контексте разработки Owl, есть в том треде в owl-users... весь текст скрыт [показать]
     
     
  • 6.55, Michael Shigorin, 16:29, 08/01/2015 [^] [ответить] [смотреть все]  
  • +/
    В этом -- http www openwall com lists owl-users 2014 12 21 2 Размышлял над эт... весь текст скрыт [показать]
     
     
  • 7.59, solardiz, 11:26, 09/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, в этом треде в сообщениях от galaxy ... весь текст скрыт [показать]
     
  • 2.53, Аноним, 18:31, 07/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Было бы неимоверно круто если бы вы это делали Я иногда посматриваю на него, но... весь текст скрыт [показать] [показать ветку]
     
  • 1.23, Аноним, 17:40, 05/01/2015 [ответить] [смотреть все]  
  • –1 +/
    Какие данные передаются через пипец, например ... весь текст скрыт [показать]
     
     
  • 2.43, Michael Shigorin, 01:57, 06/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Например, удобно с длинным dd 1 заместо размахивания сигналами и прикидки в уме... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, Амоним, 20:27, 05/01/2015 [ответить] [смотреть все]  
  • +1 +/
    А systemd будет?
     
     
  • 2.37, Аноним, 20:57, 05/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Всенепременно. C ядром 2.6.18, да.
     
  • 2.70, Аноним, 12:26, 13/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > А systemd будет?

    ненужно

     
  • 1.38, Amnesiac, 22:11, 05/01/2015 [ответить] [смотреть все]  
  • +/
    не понял, а зачем этот древний vconfig?
    разве "ip link add link eth0 name eth0.123 type vlan id 123" не торт?
     
     
  • 2.40, Аноним, 01:12, 06/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    vconfig add eth0 123
     
     
  • 3.48, Amnesiac, 17:35, 06/01/2015 [^] [ответить] [смотреть все]  
  • +/
    И что Типа, короче Тю cat my_vconfig bin sh usage echo usage base... весь текст скрыт [показать]
     
  • 2.45, solardiz, 09:18, 06/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Legacy По сути уже не нужен Если проектом снова заняться всерьез, надо бы пере... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, Павел Самсонов, 11:48, 07/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Я смотрел ранее openwall, и как это ни странно меня больше всего заинтересовало ... весь текст скрыт [показать]
     
     
  • 4.50, solardiz, 12:24, 07/01/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    nitpick JFYI, Openwall - это наша команда У нас несколько своих проектов, а т... весь текст скрыт [показать]
     
     
  • 5.56, Павел Самсонов, 18:18, 08/01/2015 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Чесно говоря я так исчитал что это логичный следующий ша... весь текст скрыт [показать]
     
     
  • 6.58, solardiz, 11:23, 09/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Ах да, chfn и chsh у нас сейчас поставляются ограниченными только для root а Ра... весь текст скрыт [показать]
     
  • 5.57, Павел Самсонов, 18:38, 08/01/2015 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Да я забыл, вы правы, newgrp может только root, это setc... весь текст скрыт [показать]
     
  • 3.51, Michael Shigorin, 18:12, 07/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Это уже сделано в etcnet, если что ... весь текст скрыт [показать]
     
  • 1.60, Аноним, 17:55, 10/01/2015 [ответить] [смотреть все]  
  • +1 +/
    Интересует также результат прохождение передовых тестов paxtest http pax grse... весь текст скрыт [показать]
     
     
  • 2.61, solardiz, 19:07, 10/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    но далеко не все По ряду показателей Owl сейчас отстает от других hardened ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Аноним, 16:58, 12/01/2015 [^] [ответить] [смотреть все]  
  • +/
    PAX Grsecurity занимаются почти исключительно ядром Linux и компилятором GCC ... весь текст скрыт [показать]
     
     
  • 4.65, solardiz, 19:01, 12/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Я в курсе Довольно странно мне рассказывать про проект, который исходно появилс... весь текст скрыт [показать]
     
     
  • 5.67, Аноним, 10:51, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Респект gradm умеет автоматом создавать политики в сравнении с selinux где пол... весь текст скрыт [показать]
     
  • 3.64, Аноним, 17:18, 12/01/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Свяжись с gentoo-hardened на lists gentoo org или gentoo-hardened на irc freeno... весь текст скрыт [показать]
     
     
  • 4.66, solardiz, 19:12, 12/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Мы немного общаемся с конкретными ребятами из Gentoo , но активно туда что-то п... весь текст скрыт [показать]
     
     
  • 5.68, Аноним, 11:02, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    При других обстоятельствах может бы взялся за поддержку ваших патчей в Гентоо, н... весь текст скрыт [показать]
     
     
  • 6.69, solardiz, 11:20, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    > Лучше продвигать в апстрим

    Для очевидных фиксов так и делаем. С требующими обсуждения/убеждения вещами - сложнее.

    > Ребята "из Gentoo" часто общаются с разрабами о продвижении патчей в
    > апстримы, возможно помогут.

    Gentoo нам уже немного помогли передав один из слотов в GSoC 2011 (от их организации - нашей) для продвижения hardening-патчей в mainstream ядро, что мы тогда немного и поделали: http://lwn.net/Articles/451405/

    А "общаться с разрабами" всё же лучше непосредственно авторам предлагаемых изменений.

     
     
  • 7.71, Аноним, 13:05, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Хотел задать ещё вопрос о ситуации с продвижением патчей grsecurity PaX и Openwa... весь текст скрыт [показать]
     
     
  • 8.72, solardiz, 17:35, 13/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Я когда-то частично это прокомментировал здесь http www opennet ru openforum ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor