[hpc-devel] HPC-CD.ISO

Andrey Slepuhin =?iso-8859-1?q?andrey=2Eslepuhin_=CE=C1_t-platforms=2Eru?=
Чт Авг 16 17:09:05 MSD 2007


Ммм... предлагаю прекратить фаллометрию в отношении того, кто лучше 
разбирается в информационной безопасности и дырам в ядре Linux :). В 
качестве сухого остатка хочу изложить следующее:
1) Для работы большинства локальных пользователей виртуализация на фиг 
не нужна. Я допускаю, что кто-то из пользователей окажется "плохим" и 
будет искать способы получения дополнительных привилегий, но это 
все-таки достаточно редкая ситуация и, на мой взгляд, здесь достаточно 
своевременного "затыкания дыр" + каких-то методов проверки целостности 
установленного софта (что никто не подменил установленные пакеты).
2) Существуют ситуации, когда применение средств виртуализации для 
обеспечения безопасности является оправданным, например: подключение 
кластера в ту или иную GRID-систему, выделение части ресурсов в учебных 
целях для работы студентов, использование приложений, требующих для 
своей работы специфического окружения и т.п.
3) При загрузке узлов кластера по сети проблема того, что кто-то 
"набезобразничал" на узлах решается простой перезагрузкой, но при этом 
управляющие узлы нужно блюсти достаточно жестко.

Поэтому, если есть возможность обеспечить виртуализацию среды выполнения 
программ на кластере, то сделать это нужно. Мне пока неизвестны 
прецеденты использования средств виртуализации на больших кластерах, 
впрочем, то, что такие средства не используются,  тоже неизвестно :)

WBR,
Андрей

Alexander A. Naumov wrote:
>> [...]
>>     
>>>> Как раз с точки зрения человека, занимающегося информационной
>>>> безопасностью, при наличии шелла (тем более с компилятором)
>>>> практичнее считать любую задачу эквивалентной имеющей привилегии
>>>> root при достаточной протяжённости периода (скажем, год) и
>>>> недостатке возможности оперативно ликвидировать local privilege
>>>> escalation в этом направлении.  Что, собственно, Серж и озвучил.
>>>>         
>>> Можно пояснить, откуда это следует?
>>>       
>> Из статистики по локальным дыркам в ядре за последние несколько лет.
>>
>>     
>
> "Есть ложь, наглая ложь и статистика" ;)
> (с) Марк Твен
>   
>> -- 
>> ldv
>>     
>
>
>
>   
>> _______________________________________________
>> Hpc-devel mailing list
>> Hpc-devel на lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/hpc-devel
>>     
>
>
> --
> С уважением,
> Александр Наумов
> ООО "Т-Платформы"
> Тел.: (495)744-0995
> http://www.t-platforms.ru
> _______________________________________________
> Hpc-devel mailing list
> Hpc-devel на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/hpc-devel
>   



Подробная информация о списке рассылки HPC-devel