The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновлены патчи ядра Linux от Openwall и подготовлены установочные образы дистрибутива Owl

03.06.2009 22:39

Александр Песляк (Solar Designer) представил адаптированную для Linux ядра 2.4.37.1 версию повышающих безопасность "-ow" (Openwall) патчей. Прошлая версия "-ow" патчей была выпущена для ядра 2.4.35 в 2007 году. Кроме адаптации для новой версии ядра в патчах переработана возможность запрещения маппинга страниц по нулевому адресу (CONFIG_HARDEN_PAGE0), которая теперь основана на реализации sysctl'а vm.mmap_min_addr, вошедшей в "официальные" ядра. Из других возможностей "-ow" патчей можно отметить защиту от выполнения кода в стеке, ограничение доступа к режиму VM86, защиту от атак через символические ссылки и т.п. в /tmp, ограничение доступа к /proc, разрушение неиспользуемых сегментов разделяемой памяти и т.д.

Дополнительно сообщается об обновлении версий программ в пакетах и публикации свежих установочных ISO-образов для "current" ветки усовершенствованного в плане безопасности серверного Linux дистрибутива Owl, на программы в котором накладываются определенные требования по безопасности до их включения в дистрибутив. Обновлены версии программ: vsftpd, pcre, nmap, libnids, hdparm, e2fsprogs, tcb, bind, openssl и многих других. В комплект включен новый пакет cdrkit, предназначенный для создания ISO-образов и записи CD/DVD дисков.

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Инициатива, направленная на увеличение безопасности открытых проектов
  3. OpenNews: Запущен проект oCERT, для оказания помощи в устранении уязвимостей
  4. OpenNews: Коллекция дополнительных пакетов для Openwall GNU/*/Linux 2.0
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/22017-linux
Ключевые слова: linux, kernel, security, openwall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, User294 (ok), 22:57, 03/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сразу видно секурити-маньяков.А зачем они пользуют 2.4?
     
     
  • 2.2, тоже user (?), 23:04, 03/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну тык они еще не смогли проапгрейдиться до 2.6. Столько кода...
     
  • 2.3, szh (ok), 03:56, 04/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    по моему ты сам ответил на свой вопрос
     
  • 2.7, anonymous (??), 10:31, 04/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ога, маньяки:

    > В комплект включен новый пакет cdrkit, предназначенный для записи CD/DVD дисков.

    Самое нужное для супер-безопасного сервера.

     
     
  • 3.10, solardiz (?), 21:30, 15/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    По поводу cdrkit, ситуация следующая: да, грязный код и, да, на сервере он обычно не нужен. Но одно из свойств Owl - это то, что система в состоянии сама себя пересобрать, включая создание ISO'шки. Для работы "make iso", нам нужен mkisofs или его аналог. Какое-то время в Owl-current для этого паковался именно отдельно-взятый mkisofs из cdrtools. Теперь мы пакуем cdrkit (клон cdrtools) целиком, с рядом исправлений, т.к. остальная функциональность вообщем-то тоже полезна (записать диск с новой версией Owl или с другой системой на машине с Owl). Дальнейшие перспективы туманны, т.к. и код оставляет желать лучшего и конфликт вокруг кода из cdrtools не радует. Жаль, что полноценных альтернатив нет (или по крайней мере мы о них не знаем).
     
     
  • 4.17, Michael Shigorin (ok), 23:15, 04/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Тут пробегал какой-то wodim, но не вникал.

    PS: зеркало на ftp://ftp.linux.kiev.ua/pub/Linux/Owl/ всё так же работает. :)

     
     
  • 5.18, solardiz (?), 23:42, 04/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Тут пробегал какой-то wodim, но не вникал.

    wodim - одна из программ пакета cdrkit. Если еще точнее, то это переименованный и слегка измененный клон не очень свежей версии cdrecord из cdrtools. Собственно, wodim в Owl-current у нас и есть (вместе с другими программами из cdrkit), но мы этому не очень рады... хотелось бы лучше, а нету. Впрочем, он свою функцию выполняет, CD/DVD пишет.

    Кстати, мы отучили cdrkit (наш пакет) от зависимости от cmake для сборки:

    http://lists.freedesktop.org/archives/distributions/2009-May/000314.html

    Альтернатива - dvd+rw-tools - но там нет поддержки CD (только DVD), да и mkisofs всё равно брать откуда-то надо.

    >PS: зеркало на ftp://ftp.linux.kiev.ua/pub/Linux/Owl/ всё так же работает. :)

    Спасибо! Может, добавим его в список.

    Кстати, мы теперь создаем новые ISO'шки Owl-current примерно раз в месяц. На данный момент свежайшие - от 25-го октября. Прямые ссылки на скачивание теперь есть прямо с Owl homepage - http://www.openwall.com/Owl/

     
  • 2.9, solardiz (?), 21:24, 15/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" - на данный момент, этим занимается Willy Tarreau - и делает это, на мой взгляд, хорошо (как раз так, как это надо для "пожилой" ветки - с одной стороны, очень консервативно, но с другой своевременно включая все действительно важные исправления, в первую очередь уязвимостей, а также отдельные "лёгкие" исправления и дополнения). В README к -ow патчам была и остается заявлена поддержка ветки 2.4 "до конца", так что для меня это вопрос ответственности перед теми, кто на эти патчи "завязался" (хотя вообщем-то сложности с них уйти нет).

    Что касается перевода дистрибутива Owl на ядра 2.6 "официально", это надо делать. Скорее всего, мы официально перейдем на ядра OpenVZ (на данный момент это будет ветка "rhel5", а позже вероятно "rhel6") с дополнительными патчами. Пока же официальным ядром на Owl является 2.4.37.1-ow1, хотя фактически многие Owl-системы (вероятно, большинство) работают с ядрами 2.6 (мы сами, когда поддерживаем подобные системы для клиентов, обычно ставим OpenVZ-ядра из ветки "rhel5"). Owl - это главным образом userland - но для начальной установки нужно какое-то ядро, за которое мы "отвечаем". А "пользователь" (админ) уже возьмет то ядро, которое ему нужно и за которое он будет отвечать сам. Это далеко не идеальный подход, но это нынешнее состояние вещей.

    P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения некоторых функций -ow патчей.

     
     
  • 3.13, User294 (??), 14:28, 17/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Ветка 2.4, как ни странно для многих, всё еще поддерживается "upstream" -

    Для меня это не странно.Я этот antique вижу каждый день.На роутерах и прочая.Единственный плюс который я от него заметил - сетевые дела на мелких железках с дохлым процом на 2.4 как-то порезвее чем на 2.6.Но все-таки 2.4 часто икается... (отдельные маньяки бэкпортят в него вкусности типа epoll и прочая, но это уж совсем изврат и большая часть народа просто валит на 2.6, даже в embedded :P)

    >"пожилой" ветки - с одной стороны, очень консервативно, но с другой
    >своевременно включая все действительно важные исправления, в первую очередь уязвимостей,

    Да, в ряде случаев гут - всяким там производителям мелких роутеров и т.п..А вот на более мощных и разлапистых системах... лично я не вижу для себя смысла в 2.4 вообще.

    >для меня это вопрос ответственности перед теми, кто на эти патчи
    >"завязался" (хотя вообщем-то сложности с них уйти нет).

    Ответственность - это хорошо.Респекты за подход.

    >подобные системы для клиентов, обычно ставим OpenVZ-ядра из ветки "rhel5").

    Ну так это ж как-то неправильно.Чем меньше "напильник" потребен тем активнее систему будут использовать.А система где секурити уделено внимание определенно достойна такой участи, а?

    > Owl - это главным образом userland

    Система без ядра - как авто без движка.Вроде как настоящее, но не ездит.

    >Это далеко не идеальный подход, но это нынешнее состояние вещей.

    Это достаточно геморройный для админа подход - админ де факто становится наполовину майнтайнером.Хоть в принципе это и не админское дело как правило.Нет, возможно это кому-то нравится, я это могу понять.Но не факт что всем.

    >P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения
    >некоторых функций -ow патчей.

    А что мешает их исправить?На опеннете новости может редактировать кто угодно (изменения апрувятся модераторами).И врядли кто-то поправит новость лучше вас...

     
     
  • 4.14, solardiz (?), 21:28, 17/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    В целом, я со всем, сказанным User294 согласен. Небольшие комментарии:

    > Система без ядра - как авто без движка. Вроде как настоящее, но не ездит.

    Не всегда так. Например, при использовании OpenVZ, большинство userland'ов своего ядра не имеют - ядро одно на физический сервер.

    >>P.S. В тексте новости на OpenNet есть ряд ошибок в отношении действия/назначения
    >>некоторых функций -ow патчей.
    >
    >А что мешает их исправить?На опеннете новости может редактировать кто угодно (изменения
    >апрувятся модераторами).И врядли кто-то поправит новость лучше вас...

    Я только что исправил явные ошибки, сохранив основной текст новости. Мои изменения ждут публикации.

     
     
  • 5.15, solardiz (?), 17:32, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Прошло 5 дней, мои исправления текста новости так и не опубликованы... В следующий раз не буду тратить время.
     
     
  • 6.16, Maxim Chirkov (ok), 20:51, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Прошло 5 дней, мои исправления текста новости так и не опубликованы... В
    >следующий раз не буду тратить время.

    Прошу прощения, правка мимо глаз пролетела. Нашел в архивах и подтвердил изменения.

     

  • 1.4, daevy (?), 06:03, 04/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кто юзал? это как-то отличается от hardened-патчей?
     
  • 1.5, СуперАноним (?), 06:50, 04/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Некрофилы.
    Ничем это 2.4 не безопаснее 2.6

     
     
  • 2.6, SnoWLight (?), 08:54, 04/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обоснуй
     
  • 2.11, solardiz (?), 21:42, 15/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    С точки зрения безопасности я бы сравнивал не столько 2.4 и 2.6 "по сути", сколько их нынешний статус. 2.4 находится в состоянии консервативной поддержки - при этом маловероятно, что будут привнесены _новые_ уязвимости между очередными релизами 2.4.x. 2.6 же активно развивается, и новые уязвимости то и дело привносятся, а затем на сколько-то minor release'ов позже исправляются. Особое внимание заслуживают "стабильные ветки" 2.6 - там ситуация в этом плане лучше. Сюда в частности относится ветка в RHEL 5 и соответствующая ветка OpenVZ. Я не говорю, что на серверах следует применять именно 2.4 (на новых скорее нет - драйвера отстали) или именно "стабильные ветки" 2.6 (кстати, в RHEL 5 и в OpenVZ есть back-port'ы драйверов). Можно и свежие 2.6, если учесть что для них регулярные обновления более важны. Каждый решит для себя и для конкретного случая.
     

  • 1.8, renton (??), 12:32, 04/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проект замечательный, но сил и средств вывести его на уровень Grsecurity у них нет. Жаль.
     
     
  • 2.12, solardiz (?), 22:04, 15/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Насчет "вывода на уровень Grsecurity" - таких планов не было и нет, и дело тут не в силах и средствах (их действительно меньше, чем хотелось бы, но они нужны нам для других целей). Уж насколько меня где-то в 1997-1999 упрекали за "сомнительные" (не совершенные) hardening measures в -ow патчах (в том числе до того как патчи стали так называться) - хотя в этом и суть hardening'а, и многие, кто упрекал, позже это поняли (схожие изменения вошли в ряд систем) - но та "сборная солянка", которая получилась у grsecurity - это даже на мой тогдаший вкус было бы слишком. К тому же, grsecurity уже давно существует, так что я не вижу смысла нам дублировать чью-то работу ("выйдя на тот же уровень"). Что же касается "маркетинга", тут вопрос спорный. Возможно, был бы смысл "продвигать" -ow патчи (для начала придумать им название). Конечно, был и есть смысл перенести их на ядра 2.6 (без "излишеств") - тут нам действительно не хватило ресурсов, учитывая другие задачи - мы сосредоточились на userland'е.
     

  • 1.19, Den (??), 21:30, 17/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как мне на основе openwall сделать web сервер? (NS+apache+mysql+php ...)
    есть ли рекомендации разработчиков по установке\настройке?

    или просто тупо брать пакеты под red hat и погнали?
    очень мало инфы вижу в сети касательно owl как сервера.

     
     
  • 2.20, solardiz (?), 14:50, 18/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Опубликованных рекомендаций разработчиков в каком-либо централизованном месте т... большой текст свёрнут, показать
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру