[Comm] Re: Проблемы с безопасностью дистрибутивов

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Вт Дек 13 12:08:14 MSK 2005


On Tue, Dec 13, 2005 at 11:46:18AM +0300, Eugene Seppel wrote:
> > Что делать остальным?  Воспользоваться совсем не
> > поддерживаемыми тарболами при возникновении нужды в
> > программах?..
> И всё-таки позвольте ещё раз с Вами не согласиться.

YW :)

> Программы из тарболов поддерживаются своими разработчиками, или
> не поддерживаются. И человек, который ставит тарболл понимает,
> что он делает.  А если пакет из Мастера, пусть и contribs -- то
> сразу возникает вера во бдительного маинтайнера, и что всё
> хорошо.

Повторюсь: это вопрос **оправданности ожиданий**.  Организационный.

Вы же предлагаете решать его техническими средствами ("а если
не будут брать -- отключим газ" (c)).

Я давно предлагаю писать большими буквами во избежание
недоразумений -- "contrib НЕ ПОДДЕРЖИВАЕТСЯ обновлениями 
по безопасности, то есть не рассчитывайте на это".  И содержу
по крайней мере один vserver, где contrib выключен (хотя,
кажется, пару раз подключался для конкретных пакетов; в такой
ситуации я отдаю себе отчёт, что при необходимости выкачу по
ним обновления сам и это есть часть моего административного
решения в данном случае).

Наверное, можно подумать о таком выходе: для серверной установки
contrib по умолчанию не подключен, для настольной -- подключен,
для custom -- выводится пояснение и задаётся вопрос в явном виде.

2 devel: ы?

---

> Я бы, всё-же, осмелился предложить принять какое-нибуть решение
> по поводу Middleman. Недопустимо иметь такие, с позволения
> сказать, прокси-сервера.

Примите.  Например, методом миграции с него с озвучиванием
причины здесь. (вторая часть выполнена ;)

> Когда я понял суть проблемы с ним, я чуть не впал в панику,
> вспомнив про свой сервак с пользователями, которым я мало
> доверяю, и сразу стал проверять конфиги прокси на сервере.
> Я бы с радостью написал патчи к middleman и послал маинтайнеру,
> да вот только времени в этом месяце не будет:(

Воот.  При этом пока Вы -- самый заинтересованный, видимо.
А остальные пользуют вполне активно поддерживаемый squid.

---

> Это всё к тому, что если бы был список рассылки
> security-announce, можно было бы в него написать, что дескать
> есть такая проблема и она решается. Но пока -- сделайте так-то.

Заменителем bugtraq@ и прочих ресурсов общего плана список
анонсов рекомендаций по безопасности дистрибутива не является и
быть не может.  Опять-таки, к этому выводу пришёл примерно через
такие же размышления, что и Вы; и через эту точку -- тоже.

Если хотите, можете подумать насчёт выделения времени для
отслеживания публикации информации о проблемах, проверки
применимости к нашим пакетам (по крайней мере на уровне
"есть, и версия вроде дырявая") и анонсирования здесь или 
в ином списке рассылки (про security-announce@ надо с ldv@
говорить, я тут ни при чём совсем).

Ключевое слово -- "времени".  Компания по определению не может
найти ресурсы на поддержку всего того, что делает сообщество.
Сервисы навроде кормления администратора с ложечки хороши,
но могут быть сколько-нибудь жизнеспособными исключительно 
как коммерческая услуга или устойчивый общественный проект.

То есть чтобы не скатиться к RHEL/FC (огрызочный набор пакетов,
зато работающий -- в RHEL обычно -- и поддерживаемый) --
требуется именно что понимание сообществом майнтейнеров того,
что сборкой пакета возня с ним обычно не оканчивается и поэтому
собирать что попало -- плохая практика, а сообществом
пользователей -- что майнтейнеры такие же люди и у них досуг
пакетами не исчерпывается.

Соответственно при наличии возможности помочь даже с одним
пакетом, в котором кто-либо так же или более заинтересован, 
как текущий майнтейнер -- может иметь смысл предложить свою 
помощь с теми же sec updates.

При наличии возможности помочь с объяснениями человеческим языком
-- опять же пишите, можно чего-нить подумать, если хоть два-три
(более одного) человека всерьёз решат выделить хоть по паре часов
в неделю на подобное да на той же secunia.com подпишутся на
анонсы.

PS: даю Cc: devel@, просьба отвечать только в один список.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20051213/82dae12a/attachment-0003.bin>


Подробная информация о списке рассылки community