OpenForum RSS: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет https://www.opennet.ru/openforum/vsluhforumID3/73378.html В рамках празднования десятилетия проекта представлена (http://www.openwall.com/lists/announce/2010/12/15/1) версия 3.0 ориентированного на обеспечение высокой безопасности дистрибутива Openwall GNU/*/Linux (http://www.openwall.com/Owl/) (для краткости - Owl), разрабатываемого преимущественно в России. Owl - дистрибутив Linux для серверов - компактный, с повышенной безопасностью и встроенной поддержкой OpenVZ-виртуализации. Owl также хорошо подходит в качестве базовой системы для образов виртуальных машин и для встраиваемых систем, а один CD с Owl включает полную live-систему, устанавливаемые пакеты, инсталлятор, полные исходные тексты и даже систему сборки.<br><br><br>Особенности (http://www.openwall.com/Owl/CHANGES-3.0.shtml) Owl 3.0:<br><br><br>- Полное отсутствие SUID программ при установке по умолчанию. Вместо них есть небольшое количество SGID-программ, а доступ соответствующих групп не расширяется до root-доступа без дополнительной уязвимости;<br>- Добавление поддержки архитектуры x86-64;<br>-...<br><br>URL: http://www.ope Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/73378.html#29 Mon, 20 Dec 2010 14:22:15 GMT &gt; это не означает повышение безопасности.<br><br>О, никак новый Шнайер залогиниться забыл за работой над очередным whitepaper'ом...<br> Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/73378.html#28 Mon, 20 Dec 2010 14:09:56 GMT "с повышенной безопасностью" если имеется в виду -"Переход на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями);" - это не аксиома. Если Вы перейдете на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями) это не означает повышение безопасности. <br> Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет (solardiz) https://www.opennet.ru/openforum/vsluhforumID3/73378.html#27 Sat, 18 Dec 2010 15:26:09 GMT Спасибо за все поздравления!<br><br>Кстати, вот обсуждение на Slashdot (при публикации модератором, URL изменился - тот, что я постил раньше, теперь соответствует черновому/архивному варианту новости):<br><br>http://linux.slashdot.org/story/10/12/17/203204/Openwall-Linux-30-mdash-No-SUIDs-Anti-Log-Spoofing<br><br>103 комментария (и их количество еще растет), из которых дельных мало и их найти сложно - они где-то там прячутся, но они есть (надеюсь на помощь в модерировании тамошней ветки сообществом). ;-)<br> Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет (Иван Иванович Иванов) https://www.opennet.ru/openforum/vsluhforumID3/73378.html#26 Fri, 17 Dec 2010 20:30:28 GMT Спасибо за ответы и вашу работу!<br><br>Вы - очень интересный собеседник.<br> Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/73378.html#25 Fri, 17 Dec 2010 18:07:52 GMT &gt; Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида <br>&gt; r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена" <br>&gt; людей), которым даем uid 0 - т.е. они фактически root'ы.<br><br>А, вот как. Спасибо, toor помню, множественные логины с одинаковым uid знаю, но не состыковалось :)<br><br>&gt; В Owl именно в связи с этим sulogin заменен на msulogin моей <br>&gt; разработки - чтобы даже при загрузке в single user можно было <br>&gt; выбрать под каким из root'ов зайти. ;-)<br><br>За что отдельное спасибо, в альте к нему привык :-)<br>Теперь понятно, почему так.<br><br>&gt;&gt; По крайней мере в окрестностях того треда в своё время не нашёл<br>&gt;&gt; обсуждения подобного use case и удивился.<br>&gt; Было, но без подробностей.<br><br>Перешлю в sysadmins@altlinux, думаю, многим будет тоже интересно.<br> Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет (solardiz) https://www.opennet.ru/openforum/vsluhforumID3/73378.html#24 Fri, 17 Dec 2010 16:54:25 GMT &gt; Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным.<br><br>Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена" людей), которым даем uid 0 - т.е. они фактически root'ы. В Owl именно в связи с этим sulogin заменен на msulogin моей разработки - чтобы даже при загрузке в single user можно было выбрать под каким из root'ов зайти. ;-) Всё остальное работает с подобной схемой без проблем и так. (Кстати, мы предложили msulogin для включения в дистрибутивы Red Hat - соответствующий "баг" у них висит открытым уже много лет.)<br><br>&gt; По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.<br><br>Было, но без подробностей.<br> Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/73378.html#21 Fri, 17 Dec 2010 16:20:31 GMT &gt; Чтобы под root'ом делать только то, что реально этого требует, надо сделать<br>&gt; два отдельных захода - root и не-root.<br><br>Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным. По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился.<br><br>Вообще же да, критика иллюзии скорее справедлива.<br> Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет (solardiz) https://www.opennet.ru/openforum/vsluhforumID3/73378.html#20 Fri, 17 Dec 2010 10:24:42 GMT &gt; Буквально за 3 минуты запустил контейнер под proxmox.<br><br>Спасибо за отзыв. Надеюсь, будут еще. :-)<br><br>&gt; Спасибо Вам за проделанную работу!<br><br>Пожалуйста! А как насчет поддержать новость на Slashdot (vote up, comment)? ;-)<br><br>http://slashdot.org/submission/1420798/Openwall-Linux-30-no-SUIDs-anti-log-spoofing<br><br>Хотелось бы получить критику и от Slashdot'овцев, несмотря на их жестокость. ;-)<br> Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет (solardiz) https://www.opennet.ru/openforum/vsluhforumID3/73378.html#19 Fri, 17 Dec 2010 10:19:09 GMT &gt; А как в системе стать root'ом?<br><br>Лучше - зайти root'ом с консоли или по ssh. Чтобы под root'ом делать только то, что реально этого требует, надо сделать два отдельных захода - root и не-root. su и sudo мы использовать не рекомендуем. Это распространенное заблуждение, что заход под пользователем и затем su как-то безопаснее, чем заход под root. Обычно верно обратное.<br><br>http://www.openwall.com/lists/owl-users/2004/10/20/6<br><br>&gt; но su root - bash: /bin/su: Permission denied<br><br>По умолчанию, su доступен лишь для переключения от root'а под пользователя, но не обратно. Если очень хочется все же соблюсти абсурдную традицию, то можно сказать:<br><br>control su wheelonly<br><br>После этого su станет доступен группе wheel. Более этого, эта настройка будет сохраняться при обновлениях системы, так что делать ее заново после обновления не придется. Рекомендую также запустить просто "control" (выдаст список подобных настроек) и "man control".<br><br>&gt; Или надо из под рута поставить sudo ?<br><br>Можно, но не советую (за очень редкими искл