[devel] Re: [Comm] Re: Проблемы с безопасностью дистрибутивов
Michael Shigorin
=?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Вт Дек 13 12:08:14 MSK 2005
On Tue, Dec 13, 2005 at 11:46:18AM +0300, Eugene Seppel wrote:
> > Что делать остальным? Воспользоваться совсем не
> > поддерживаемыми тарболами при возникновении нужды в
> > программах?..
> И всё-таки позвольте ещё раз с Вами не согласиться.
YW :)
> Программы из тарболов поддерживаются своими разработчиками, или
> не поддерживаются. И человек, который ставит тарболл понимает,
> что он делает. А если пакет из Мастера, пусть и contribs -- то
> сразу возникает вера во бдительного маинтайнера, и что всё
> хорошо.
Повторюсь: это вопрос **оправданности ожиданий**. Организационный.
Вы же предлагаете решать его техническими средствами ("а если
не будут брать -- отключим газ" (c)).
Я давно предлагаю писать большими буквами во избежание
недоразумений -- "contrib НЕ ПОДДЕРЖИВАЕТСЯ обновлениями
по безопасности, то есть не рассчитывайте на это". И содержу
по крайней мере один vserver, где contrib выключен (хотя,
кажется, пару раз подключался для конкретных пакетов; в такой
ситуации я отдаю себе отчёт, что при необходимости выкачу по
ним обновления сам и это есть часть моего административного
решения в данном случае).
Наверное, можно подумать о таком выходе: для серверной установки
contrib по умолчанию не подключен, для настольной -- подключен,
для custom -- выводится пояснение и задаётся вопрос в явном виде.
2 devel: ы?
---
> Я бы, всё-же, осмелился предложить принять какое-нибуть решение
> по поводу Middleman. Недопустимо иметь такие, с позволения
> сказать, прокси-сервера.
Примите. Например, методом миграции с него с озвучиванием
причины здесь. (вторая часть выполнена ;)
> Когда я понял суть проблемы с ним, я чуть не впал в панику,
> вспомнив про свой сервак с пользователями, которым я мало
> доверяю, и сразу стал проверять конфиги прокси на сервере.
> Я бы с радостью написал патчи к middleman и послал маинтайнеру,
> да вот только времени в этом месяце не будет:(
Воот. При этом пока Вы -- самый заинтересованный, видимо.
А остальные пользуют вполне активно поддерживаемый squid.
---
> Это всё к тому, что если бы был список рассылки
> security-announce, можно было бы в него написать, что дескать
> есть такая проблема и она решается. Но пока -- сделайте так-то.
Заменителем bugtraq@ и прочих ресурсов общего плана список
анонсов рекомендаций по безопасности дистрибутива не является и
быть не может. Опять-таки, к этому выводу пришёл примерно через
такие же размышления, что и Вы; и через эту точку -- тоже.
Если хотите, можете подумать насчёт выделения времени для
отслеживания публикации информации о проблемах, проверки
применимости к нашим пакетам (по крайней мере на уровне
"есть, и версия вроде дырявая") и анонсирования здесь или
в ином списке рассылки (про security-announce@ надо с ldv@
говорить, я тут ни при чём совсем).
Ключевое слово -- "времени". Компания по определению не может
найти ресурсы на поддержку всего того, что делает сообщество.
Сервисы навроде кормления администратора с ложечки хороши,
но могут быть сколько-нибудь жизнеспособными исключительно
как коммерческая услуга или устойчивый общественный проект.
То есть чтобы не скатиться к RHEL/FC (огрызочный набор пакетов,
зато работающий -- в RHEL обычно -- и поддерживаемый) --
требуется именно что понимание сообществом майнтейнеров того,
что сборкой пакета возня с ним обычно не оканчивается и поэтому
собирать что попало -- плохая практика, а сообществом
пользователей -- что майнтейнеры такие же люди и у них досуг
пакетами не исчерпывается.
Соответственно при наличии возможности помочь даже с одним
пакетом, в котором кто-либо так же или более заинтересован,
как текущий майнтейнер -- может иметь смысл предложить свою
помощь с теми же sec updates.
При наличии возможности помочь с объяснениями человеческим языком
-- опять же пишите, можно чего-нить подумать, если хоть два-три
(более одного) человека всерьёз решат выделить хоть по паре часов
в неделю на подобное да на той же secunia.com подпишутся на
анонсы.
PS: даю Cc: devel@, просьба отвечать только в один список.
--
---- WBR, Michael Shigorin <mike на altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20051213/82dae12a/attachment-0001.bin>
Подробная информация о списке рассылки Devel