The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

24.11.2009 22:47

Непревзойденный в плане подхода к обеспечению безопасности серверный Linux дистрибутив Owl осуществил переход на Linux ядро 2.6.x. Также в дистрибутив интегрирована поддержка технологии OpenVZ для создания изолированных контейнеров, в связи с чем в состав добавлены пакеты vzctl и vzquota. В качестве Linux ядра используется версия 2.6.18 с патчами от RHEL и поддержкой OpenVZ. Отражающие последние изменения ISO-образы сформированы для архитектур x86 и x86-64.

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Обновлены патчи ядра Linux от Openwall и подготовлены установочные образы дистрибутива Owl
  3. OpenNews: Обновление программ, разработанных в рамках проекта Openwall
  4. OpenNews: Выпущена 64-битная версия Openwall GNU/*/Linux
  5. OpenNews: Коллекция дополнительных пакетов для Openwall GNU/*/Linux 2.0
  6. OpenNews: Вышел Openwall GNU/Linux 2.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/24395-Owl
Ключевые слова: Owl, linux, openwall
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, solardiz (?), 07:23, 25/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Версия 2.6.18 с патчами ..." - это, хоть и правда, но очень условно. Если размер объединенного патча (10 MB под .bz2) сравним с размером ядра (40 MB под .bz2), какая это теперь версия?.. Номер у нее получается длинный - у нас она сейчас зовется 2.6.18-128.2.1.el5.028stab064.8-owl0.2. Сюда вошел номер версии ядра, от которой Red Hat'овцы fork'нули stable ветку для RHEL5, номер версии RHEL-патчей (трехзначный т.к. у них тоже ветки - эта одна из стабильных, на основе которой Red Hat выпускал официальные обновления RHEL), номер версии OpenVZ-патчей, и номер версии наших патчей (совсем мелких - на данный момент это всего 11 KB под .gz - да, килобайт).

    Звучит страшно? А не стоит бояться. Это правда стабильная ветка (ну, по крайней мере в терминах Red Hat и OpenVZ, и относительно cutting-edge 2.6 ядер), включающая back-port'ы security fix'ов (а многие публикуемые сейчас уязвимости ядер 2.6.3x, кстати, в 2.6.18 просто отсутствовали, так что новых back-port'ов требуется и делается меньше, чем сейчас исправляется уязвимостей в 2.6.3x), некоторый security hardening (exec-shield, vm.mmap_min_addr и отвязка его от LSM - в свежих 2.6.3x это тоже есть, в исходном 2.6.18 не было), а также back-port'ы драйверов.

    Названные мной 10 MB - это почти исключительно изменения между 2.6.18 и ядром из RHEL5, причем из них большая часть объема - это драйвера. Код OpenVZ - в пределах 10% от размера общего патча. Вот картинка, которая это поясняет:

    http://wiki.openvz.org/Image:Kernel-loc-changes-compared-to-rhel5.png

    В ближайших планах (вероятно, декабрь) - переход на "2.6.18-164..." (как-бы с RHEL 5.3 на 5.4). В более отдаленных - на OpenVZ-патч на основе ядер из RHEL6, опять же с нашими мелкими патчами сверху, конечно (теми из них, которые еще не войдут в один из upstream'ов - некоторые уже вошли пока мы "разрабатывали").

     
     
  • 2.3, Alex (??), 10:37, 25/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    В целом понятно, но спасибо за пояснения. Поздравляю вас и нас с переходом Owl на 2.6. :-)

     
     
  • 3.5, solardiz (?), 12:03, 25/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Поздравляю вас и нас с переходом Owl на 2.6. :-)

    Спасибо за поздравление. Кстати, несмотря на наш выбор определенной ветки ядер, на Owl успешно собираются и Owl успешно работает под свежайшими ядрами 2.6 (и это не новость) - я на днях проверял с 2.6.31.6. Так что наши пользователи имеют выбор. Другое дело, что нам надо было выбрать определенную версию /usr/include/{linux,asm*} для сборок Owl userland. Если взять header'ы от того же 2.6.31.6, вместо предоставляемых нами, не соберется как минимум vzctl. ;-)

     
  • 2.11, demimurych (?), 22:28, 25/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    привет solar !
    до сих пор под впечатление от твоего нора.

    может быть помнишь, когда то страшно давно, fido ru.hacker. Твой NOR hackme.

     
     
  • 3.12, Аноним (-), 23:03, 25/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А мне запомнилась его 128 байтовая демка Cross, котороую он на конкурс в ru.demo.design лет 15 назад кидал :-)


     
     
  • 4.16, solardiz (?), 03:37, 26/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А мне запомнилась его 128 байтовая демка Cross ...

    Забавно, что такие вещи вспомнили здесь. Cross была другого участника конкурса. Моя была Highway. Но это не в тему.

    А в тему - за Owl "стою" не только я. В частности, значительную часть работы после Owl 2.0 (да и до тоже) проделали Дмитрий Левин (известный также как один из ключевых разработчиков ALT Linux), Михаил Литвак, Дмитрий Хлебников и еще несколько человек (в том числе "не русские", хотя это в большей степени до 2.0). Проект небольшой, команда тоже, но всё же это не я один, и это важно.

     
  • 2.13, seyko (??), 00:24, 26/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    2.6.18-128.2.1.el5.028stab064.8-owl0.2 -- детская болезнь, такое длинное наименование избыточно. Вполне достаточно 2.6.18-owl-r0648 :-) Уж поверьте... Живу на таком же ядре с 2006 года (саморощенный SLAX-like линукс на основе GETNTOO). Кстати, как у вас там с aufs дело  обстоит -- используете ли и если да, то какую версию?
     
     
  • 3.15, solardiz (?), 03:18, 26/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >2.6.18-128.2.1.el5.028stab064.8-owl0.2 -- детская болезнь, такое длинное наименование избыточно. Вполне достаточно 2.6.18-owl-r0648 :-)

    Спасибо за мнение. В userland пакетах мы такие длинные "номера" версий не используем, несмотря на то что в ряде случаев там тоже набор патчей из разных источников. В случае с ядром пока так в какой-то степени чтобы подчеркнуть для "новичков" что это далеко не 2.6.18 и сразу "ответить на вопросы" что именно. С другой стороны, я понимаю что все ответы в номер версии или имя файла все равно не уместить... К тому же, 128.2.1 оказывается не совсем верным, т.к. часть более новых Red Hat'овых патчей вошла в owl0.2, фактически доведя версию до 128.7.1, но OpenVZ'овый 064.8 при этом базировался на 128.2.1. Так что да, есть причины отказаться от такой длинной нумерации. Подумаем.

    > Кстати, как у вас там с aufs дело обстоит -- используете ли и если да, то какую версию?

    Пока не используем. Пока контейнеры на simfs. Может быть, позже, если будет значительный спрос или это (общие файлы и copy-on-write для изменений) всерьез потребуется нам самим или станет стандартной функцией используемого ядра.

     
  • 2.20, solardiz (?), 14:03, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > В ближайших планах (вероятно, декабрь) - переход на "2.6.18-164..." (как-бы с RHEL 5.3 на 5.4).

    С опозданием, но мы всё же это сделали. В ISO'шках за 23-е марта (под i686 и x86-64) ядро зовется 2.6.18-164.15.1.el5.028stab068.5-owl1 и включает патчи от Red Hat из -164.15.1, объявленного 16-го марта, и 028stab068.5 от OpenVZ, выпущенного 18-го марта.

     

  • 1.2, Logo (ok), 10:02, 25/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По сути это голая операционка, а что будет с Непревзойденной безопасностью, если я начну устанавливать дополнительное ПО? Ставить все на виртуальные машины? (В смысле, контейнеры).
     
     
  • 2.4, solardiz (?), 11:55, 25/11/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Разумеется, дополнительное ПО может привнести дополнительные уязвимости От этог... большой текст свёрнут, показать
     
     
  • 3.6, Антон (??), 12:28, 25/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А есть ли какие-то планы по интеграции SELinux, AppArmor, TOMOYO ? Как вы вообще к таким технологиям относитесь и насколько по вашему мода по их добавлению в дистрибутивы оправдана ?

    Еще было бы интересно услышать ваше мнение по поводу технологий повышения безопасности, представленных Google в Chromium OS.
    http://www.chromium.org/chromium-os/chromiumos-design-docs/security-overview
    http://sites.google.com/a/chromium.org/dev/chromium-os/chromiumos-design-docs

     
     
  • 4.7, Alex (??), 12:49, 25/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А есть ли какие-то планы по интеграции SELinux, AppArmor, TOMOYO ? Как
    >вы вообще к таким технологиям относитесь и насколько по вашему мода
    >по их добавлению в дистрибутивы оправдана ?
    >
    >Еще было бы интересно услышать ваше мнение по поводу технологий повышения безопасности,
    >представленных Google в Chromium OS.
    >http://www.chromium.org/chromium-os/chromiumos-design-docs/security-overview
    >http://sites.google.com/a/chromium.org/dev/chromium-os/chromiumos-design-docs

    С SELinux пока вопрос скорее не к разработчикам Owl, а к разработчикам SELinux и OpenVZ. Так как пока они вместе не работают. Когда OpenVZ войдет целиком в mainstream ядро или хотя бы в RHEL6, можно расчитывать, что оно будет вместе работать. Про AppArmor и TOMOYO не скажу, не смотрел подробно.

     
  • 4.8, solardiz (?), 13:23, 25/11/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока что планы отрицательные , по нескольким причинам, включая несовместимость ... большой текст свёрнут, показать
     
     
  • 5.9, Daemontux (ok), 16:04, 25/11/2009 [^] [^^] [^^^] [ответить]  
  • +/

    А как на счет grsecurity pax?
     
     
  • 6.17, solardiz (?), 04:18, 26/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Не планируется При наличии времени и, возможно, спонсора , есть потенциальный ... большой текст свёрнут, показать
     
  • 3.10, Logo (ok), 16:29, 25/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, идеология прояснилась. Буду пробовать пока на VirtualBox.
     
     
  • 4.14, solardiz (?), 03:02, 26/11/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Буду пробовать пока на VirtualBox.

    Отлично. Пожалуйста, о результатах (отзывы, вопросы) - в owl-users. А можно и в комментарии здесь тоже. Нам реально нужны отзывы от пользователей.

     
  • 4.19, solardiz (?), 11:46, 27/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    У нас появилась инструкция по использованию OpenVZ контейнеров на Owl, на конкретном примере, как на установленной, так и на загруженной с CD/DVD системе (для тех кто хочет сначала "поиграться"):

    http://openwall.info/wiki/Owl/usage-examples/OpenVZ/getting-started

    (Разумеется, можно и просто грузиться с файла-ISO'шки под эмулятором. Сами часто так делаем.)

     

  • 1.18, phpcoder (??), 09:56, 26/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Молодцы!

    С интересом прочитал новость и комментарии здесь.


     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру