https://opennet.ru/openforum/vsluhforumID3/55367.html Александр Песляк (Solar Designer) представил (http://www.openwall.com/lists/announce/2009/06/03/1) адаптированную для Linux ядра 2.4.37.1 версию повышающих безопасность (http://www.openwall.com/linux/README.shtml) "-ow (http://www.openwall.com/linux/)" (OpenWall) патчей. Прошлая версия "-ow" патчей была выпущена (ftp://ftp.openwall.com/pub/patches/linux/v2.4/historical/) для ядра 2.4.35 в 2007 году. Кроме адаптации для новой версии ядра в патчах переработана возможность запрещения маппинга страниц нулевого размера (CONFIG_HARDEN_PAGE0), которая теперь основана на использовании системного вызова vm.mmap_min_addr. Из других возможностей "-ow" патчей можно отметить защиту от выполнения кода в стеке, ограничение доступа к системным вызовам, разрешающим работу CAP_SYS_RAWIO процессов в VM86 режиме, защита от создания fifo-каналов и символических ссылок в /tmp, ограничение доступа к /proc, разрушение неиспользуемых сегментов разделяемой памяти и т.д.<br><br><br>Дополнительно сообщается об обновлен...<br><br>URL: http://www.ope https://opennet.ru/openforum/vsluhforumID3/55367.html#20 Thu, 18 Feb 2010 11:50:42 GMT &gt;как мне на основе openwall сделать web сервер? (NS+apache+mysql+php ...) <br>&gt;есть ли рекомендации разработчиков по установке\настройке? <br><br>Опубликованных рекомендаций разработчиков в каком-либо централизованном месте (т.е. не отдельные ответы на отдельные вопросы, такие как этот), увы, пока нет. Планируются на после-ближайшего-релиза.<br><br>По DNS-серверу: в Owl входит пакет BIND, его и использовать - настройки под /var/lib/bind/etc/, запуск/включение с помощью "service named start", "chkconfig named on" (т.е. как это обычно делается на RH-подобных дистрибутивах). См. также "man control", выдачу команды "control" и настройки bind-debug и bind-slave там. С точки зрения безопасности, named по умолчанию chroot'ится и работает от выделенного псевдо-пользователя. Так что необходимости в использовании еще и отдельного контейнера нет, но на практике мы сами обычно создаем-таки контейнеры для DNS-серверов - для снижения рисков при администрировании, для ограничения и гарантии ресурсов, а также от атак "в другую сторону https://opennet.ru/openforum/vsluhforumID3/55367.html#19 Wed, 17 Feb 2010 18:30:41 GMT как мне на основе openwall сделать web сервер? (NS+apache+mysql+php ...) <br>есть ли рекомендации разработчиков по установке\настройке?<br><br>или просто тупо брать пакеты под red hat и погнали?<br>очень мало инфы вижу в сети касательно owl как сервера.<br><br> https://opennet.ru/openforum/vsluhforumID3/55367.html#18 Wed, 04 Nov 2009 20:42:23 GMT &gt;Тут пробегал какой-то wodim, но не вникал.<br><br>wodim - одна из программ пакета cdrkit. Если еще точнее, то это переименованный и слегка измененный клон не очень свежей версии cdrecord из cdrtools. Собственно, wodim в Owl-current у нас и есть (вместе с другими программами из cdrkit), но мы этому не очень рады... хотелось бы лучше, а нету. Впрочем, он свою функцию выполняет, CD/DVD пишет.<br><br>Кстати, мы отучили cdrkit (наш пакет) от зависимости от cmake для сборки:<br><br>http://lists.freedesktop.org/archives/distributions/2009-May/000314.html<br><br>Альтернатива - dvd+rw-tools - но там нет поддержки CD (только DVD), да и mkisofs всё равно брать откуда-то надо.<br><br>&gt;PS: зеркало на ftp://ftp.linux.kiev.ua/pub/Linux/Owl/ всё так же работает. :) <br><br>Спасибо! Может, добавим его в список.<br><br>Кстати, мы теперь создаем новые ISO'шки Owl-current примерно раз в месяц. На данный момент свежайшие - от 25-го октября. Прямые ссылки на скачивание теперь есть прямо с Owl homepage - http://www.openwall.com/Owl/<br> https://opennet.ru/openforum/vsluhforumID3/55367.html#17 Wed, 04 Nov 2009 20:15:12 GMT Тут пробегал какой-то wodim, но не вникал.<br><br>PS: зеркало на ftp://ftp.linux.kiev.ua/pub/Linux/Owl/ всё так же работает. :)<br> https://opennet.ru/openforum/vsluhforumID3/55367.html#16 Mon, 22 Jun 2009 16:51:05 GMT &gt;Прошло 5 дней, мои исправления текста новости так и не опубликованы... В <br>&gt;следующий раз не буду тратить время. <br><br>Прошу прощения, правка мимо глаз пролетела. Нашел в архивах и подтвердил изменения.<br> https://opennet.ru/openforum/vsluhforumID3/55367.html#15 Mon, 22 Jun 2009 13:32:03 GMT Прошло 5 дней, мои исправления текста новости так и не опубликованы... В следующий раз не буду тратить время.<br> https://opennet.ru/openforum/vsluhforumID3/55367.html#14 Wed, 17 Jun 2009 17:28:33 GMT В целом, я со всем, сказанным User294 согласен. Небольшие комментарии:<br><br>&gt; Система без ядра - как авто без движка. Вроде как настоящее, но не ездит.<br><br>Не всегда так. Например, при использовании OpenVZ, большинство userland'ов своего ядра не имеют - ядро одно на физический сервер.<br><br>&gt;&gt;P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения <br>&gt;&gt;некоторых функций -ow патчей. <br>&gt;<br>&gt;А что мешает их исправить?На опеннете новости может редактировать кто угодно (изменения <br>&gt;апрувятся модераторами).И врядли кто-то поправит новость лучше вас... <br><br>Я только что исправил явные ошибки, сохранив основной текст новости. Мои изменения ждут публикации.<br> https://opennet.ru/openforum/vsluhforumID3/55367.html#13 Wed, 17 Jun 2009 10:28:58 GMT &gt;Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" - <br><br>Для меня это не странно.Я этот antique вижу каждый день.На роутерах и прочая.Единственный плюс который я от него заметил - сетевые дела на мелких железках с дохлым процом на 2.4 как-то порезвее чем на 2.6.Но все-таки 2.4 часто икается... (отдельные маньяки бэкпортят в него вкусности типа epoll и прочая, но это уж совсем изврат и большая часть народа просто валит на 2.6, даже в embedded :P)<br><br>&gt;"пожилой" ветки - с одной стороны, очень консервативно, но с другой <br>&gt;своевременно включая все действительно важные исправления, в первую очередь уязвимостей, <br><br>Да, в ряде случаев гут - всяким там производителям мелких роутеров и т.п..А вот на более мощных и разлапистых системах... лично я не вижу для себя смысла в 2.4 вообще.<br><br>&gt;для меня это вопрос ответственности перед теми, кто на эти патчи <br>&gt;"завязался" (хотя вообщем-то сложности с них уйти нет). <br><br>Ответственность - это хорошо.Респекты за подход.<br><br>&gt;подобные системы для клиентов, обы https://opennet.ru/openforum/vsluhforumID3/55367.html#12 Mon, 15 Jun 2009 18:04:23 GMT Насчет "вывода на уровень Grsecurity" - таких планов не было и нет, и дело тут не в силах и средствах (их действительно меньше, чем хотелось бы, но они нужны нам для других целей). Уж насколько меня где-то в 1997-1999 упрекали за "сомнительные" (не совершенные) hardening measures в -ow патчах (в том числе до того как патчи стали так называться) - хотя в этом и суть hardening'а, и многие, кто упрекал, позже это поняли (схожие изменения вошли в ряд систем) - но та "сборная солянка", которая получилась у grsecurity - это даже на мой тогдаший вкус было бы слишком. К тому же, grsecurity уже давно существует, так что я не вижу смысла нам дублировать чью-то работу ("выйдя на тот же уровень"). Что же касается "маркетинга", тут вопрос спорный. Возможно, был бы смысл "продвигать" -ow патчи (для начала придумать им название). Конечно, был и есть смысл перенести их на ядра 2.6 (без "излишеств") - тут нам действительно не хватило ресурсов, учитывая другие задачи - мы сосредоточились на userland'е.<br>