The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление сборки Openwall GNU/*/Linux

25.05.2018 10:49

Сформировано обновление iso-образов и шаблонов контейнеров OpenVZ стабильной ветки Openwall GNU/*/Linux (Owl) 3.1-stable. По сравнению с прошлым обновлением iso-образов, выпущенным в августе 2016 года, в состав нового выпуска включены накопившиеся обновления с устранением уязвимостей, в том числе исправлены уязвимости в ядре Linux, glibc, openssl, procps-ng, db4, openssh, bind и gnupg. Также обновлены шаблоны контейнеров для OpenVZ и сборки находящейся в разработке ветки Owl-current, которая последние несколько лет не развивается и находится в состоянии сопровождения (устраняются только критические уязвимости).

Owl представляет собой компактный дистрибутив GNU/Linux, ориентированный на обеспечение высокой безопасности, который может использоваться как для создания высокозащищённых серверных систем, так и для создания базовой начинки изолированных контейнеров и организации работы контейнерной виртуализации на основе OpenVZ. В дистрибутиве по умолчанию применяются передовые методы обеспечения защиты, используются наиболее безопасные настройки (например, по умолчанию не поставляется программ с флагом suid) и поставляются только пакеты, заслуживающие доверия и прошедшие аудит исходного кода. Кроме готовых бинарных пакетов, предоставляются удобные средства для пересборки пакетов из исходных текстов (make buildworld) и формирования iso-образа или начинки виртуального окружения.



  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Обновление сборки Openwall GNU/*/Linux 3.1-stable
  3. OpenNews: Анонсирован Openwall GNU/*/Linux 3.1-stable
  4. OpenNews: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
  5. OpenNews: Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux
  6. OpenNews: Выпуск yescrypt 1.0.0, новой схемы хеширования паролей
Лицензия: CC-BY
Тип: Программы
Ключевые слова: owl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Диносуслик (?), 11:43, 25/05/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –7 +/
    Молодцы!
     
  • 1.5, Аноним (-), 18:47, 25/05/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    А что значит этот звездолинукс в названии?
     
     
  • 2.6, solardiz (ok), 19:32, 25/05/2018 [^] [ответить]    [к модератору]
  • +1 +/
    Звездочка означает что многие компоненты и не GNU и не Linux, но не менее важны. Если уж rms настаивает на упоминании GNU, то логично хоть как-то упомянуть остальное.
     
     
  • 3.9, Аноним (-), 23:12, 26/05/2018 [^] [ответить]    [к модератору]
  • +/
    Сейчас режим сопровождения, а каковы перспективы?
     
     
  • 4.10, solardiz (ok), 12:10, 27/05/2018 [^] [ответить]    [к модератору]
  • +2 +/
    Перспективы не ясны. Возможен переход на ядра OpenVZ/Virtuozzo 7 и обновление userland'а, чтобы получить легковесную альтернативу VzLinux (без bloat'а, пришедшего в userland VzLinux из RHEL7, без prl_disp_service). В сочетании с этим возможно мы, наконец, включим в Owl набор пакетов для веб-хостинга (начиная с nginx), чтобы Owl была более применима и внутри контейнеров тоже. Либо же продолжим сопровождение и потом будет EOL. Одна из причин нынешней стагнации в том, что c Owl у нас не связано никакого дохода - когда-то мы предоставляли услуги на базе Owl, но сейчас нам это неинтересно (так как не масштабируется и отвлекает от новых проектов). С другой стороны, легковесная альтернатива VzLinux и веб-сайты (включая wiki и т.п.) нужны и нам самим, сидеть на устаревших системах еще долго не выйдет (нужна поддержка новых версий протоколов и т.д.), а существующие дистрибутивы во многом не устраивают. Заодно на базе Owl можно опробовать будущий yescrypt-lite для последующей его интеграции другими дистрибутивами (аналогично тому как в 2000 году мы сделали с crypt_blowfish). Так что посмотрим.
     
     
  • 5.11, Аноним (-), 15:09, 27/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Спасибо за развернутый ответ, будем наблюдать, в т.ч. за yescrypt.
     
  • 3.12, solardiz fan (?), 15:48, 24/06/2018 [^] [ответить]    [к модератору]  
  • +/
    solardiz, ответь пожалуйста:

    1) Какой из 3 путей обеспечения максимальной безопасности системы ты считаешь более правильным, через:
    - дизайн https://en.wikipedia.org/wiki/Secure_by_design
    - изоляцию https://en.wikipedia.org/wiki/Qubes_OS
    - неясность https://en.wikipedia.org/wiki/Security_through_obscurity
    - сочетание (например дизайн + изоляция, типа Openwall на dom0 в качестве хост-системы для множества Qubes(Xen)-систем)
    - свой вариант

    2) Какие системы сборки тебе кажутся более правильными и технологичными:
    - Openwall-овская (Окружение состоит из двух деревьев каталогов. Одно дерево содержит оригинальные архивы исходных текстов. Другое, размещенное в CVS-репозитарии, содержит правила сборки, исправления, а также специфические для Owl дополнения к пакетам. На основе этих двух деревьев исходных текстов собираются бинарные пакеты. Мы используем RPM для работы с готовыми бинарными пакетами, что обеспечивает системе на базе Owl корректную обработку взаимозависимых пакетов от (или рассчитанных на) Red Hat Linux и другие дистрибутивы.)
    - альтовская https://www.altlinux.org/О_стратегии_сборки_RPM_пакетов
    - Guix-овская https://arxiv.org/pdf/1305.4584v1.pdf
    - свой вариант

    3) Не преувеличено ли значение воспроизводимых сборок https://reproducible-builds.org/ ? Насколько важна воспроизводимость для безопасности?

     
     
  • 4.13, solardiz (ok), 21:06, 01/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    0 Не советую быть fan ом 1 Сочетание всех или части перечисленных путей, а та... весь текст скрыт [показать]
     
     
  • 5.14, рпрарпо (?), 05:50, 21/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Спасибо за развёрнутый ответ Под такой порядок важности более-менее подходит Q... весь текст скрыт [показать]
     
     
  • 6.15, solardiz (ok), 12:20, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Qubes dom0 не использует и не обновляется из template. На него обновления скачиваются (через sys-firewall, так как сам dom0 доступа в сеть не имеет) и ставятся отдельно. Или не ставятся, если не хочешь.

    На dom0 (да и не только) действительно не обязательно Linux, но если Linux, то я рекомендовал взять за основу Alpine.

    Owl на Qubes без проблем ставится в HVM, но применения там Owl (если не добавлять много чего еще) очень ограничены.

    У меня нет задачи "выбора наиболее технологичной и универсальной системы сборки", поэтому нет и готового ответа на этот вопрос. Если бы такая задача всерьез возникла, я бы подумал о ее оправданности (часто специализированные решения лучше универсального) и либо от нее отказался, либо потратил немало времени на изучение имеющихся вариантов.

     
     
  • 7.16, рпрарпо (?), 18:45, 21/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Спасибо за быстрый ответ Надо ставить, в Xen-е же тоже периодически появляются... весь текст скрыт [показать]
     
     
  • 8.17, solardiz (ok), 20:21, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Обновления Xen да, желательно ставить. Еще обновления Qubes-специфичных компонентов. Еще, если заморачиваться на Spectre, можно ставить обновления микрокода для его использования ядрами и Xen'ом. Всё остальное на dom0 обычно не особо нужно обновлять, и обновление может не оправдывать риск. Из коробки, делать обновления выборочно неудобно.

    У Alpine ядро, как я понимаю, уже без grsecurity, но для Qubes dom0 это совершенно не важно и я говорил скорее об Alpine'овом минималистичном userland'е, а ядро всё равно какое в Qubes больше подойдет.

    Owl на Qubes в HVM просто ставится из ISO'шки, как любая другая система. Без template, без какой-либо интеграции. Получается окошко с консолью и опционально доступ по ssh из некоторых других VM (лучше из одной). Похожесть на Fedora тут ни при чем.

    "Обычный просмотр статеек-роликов и зависание на форумах" потянет только в текстовой консоли, так как X'ов в Owl из коробки нет. Реальные применения: mutt, ssh оттуда на внешние сервера, сборка/использование чего-то консольного, подпись релизов. Всё это под разными аккаунтами там, без запуска под эти отдельные задачи целых VM'ок. OpenVZ-контейнеры с чем-то достаточно старым чтобы работало под тамошним OpenVZ/RHEL5 ядром (то есть Owl же и еще, например, CentOS 6). Поэтому "применения там Owl (если не добавлять много чего еще) очень ограничены."

    Я не спец по системам сборки.

     
     
  • 9.18, рпрарпо (?), 18:22, 24/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Да, надо понимать, какая часть обновления затрагивает нужное микрокод , а какая... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor