[room] к слову о лидерах или стагнации

Денис Смирнов =?iso-8859-1?q?mithraen_=CE=C1_altlinux=2Eru?=
Чт Сен 7 20:46:17 MSD 2006 

On Thu, Sep 07, 2006 at 08:35:18AM +0500, Aleksey Korotkov wrote:

>> Ну для начала рекомендую сделать ls -l /home в Debian. 
AK> А что там? Пока посмотреть не могу; писал, что временно на Федоре.

А вы посмотрите, посмотрите. Там право на "зайти но не читать" на все
домашние каталоги пользователей по-умолчанию. Таким образом если в
домашнем каталоге завелся файл с правами на чтение для всех (а
по-умолчанию чаще всего так и есть), его может прочитать любой другой
пользователь, если знает его называние.

>> Когда я первый
>> разэто увидел, у меня шок был. Тяжелый. Потом рекомендую посмотреть
>> на предмет chroot. Большинство сервисов в ALTзапускается в чруте, в
>> отличии от. 
AK> Если я правильно понимаю, чрут от взлома, если что, не поможет. 

Неправильно понимаете, увы. Чрут это способ локализации проблемы. Скажем
ну взломают у меня на хостинге bind. Хреново конечно, но обновления bind
будет для меня достаточно чтобы о том взломе забыть. Ну и прибить,
конечно, лишние процессы если были запущены.

В Debian умолчальной конфигурации компрометация любого из сервисов
означает компрометацию сервера целиком.

>> Потом рекомендую посмотреть на большинство пакетов
>> собираемых ldv. Потомпойти на openwall.org, почитать и подумать (Hint
>> -- сборкисинхронизируются с openwall). 
AK> Это что -- намёк на то, что Дебиан несовместим с openwall?

Что значит "совместим/не совместим"?

О чем мы говорим? Достаточно пойти, скачать src.rpm того же openssh из
ALT, и посмотреть на содержимое патчей. И подумать. Я подумал, вывод свой
сделал.

AK> По-моему, сравнивать можно только так: ставим рядом два сервера -- один
AK> с Альтом, другой с Дебианом, накатываем все имеющиеся для данного
AK> дистрибутива секурные патчи (если таковые есть), настраиваем и нанимаем
AK> команду взломщиков. После чего анализируем: что взломано, за какое
AK> время, насколько хреновые последствия и т.д. и т.п. А так всё
AK> абстракции.

Увы, это позволяет ловить только _известные_ уязвимости. А есть ещё
средства для уменьшения последствий появления будущих уязвимостей. Тот же
chroot к ним и относится. А не хочу всю жизнь судорожно вглядываться в
почту, не пришло ли очередное уведомление о найденой дыре в каком-нибудь
решете типа bind. И после этого трясущимися пальцами качать, собирать и
устанавливать обновления.

Я хочу _знать_, что если поимеют тот же bind, то в худшем случае испоганят
DNS-зону. А данные окажутся целы и невредимы.

>> А если меня замучает параноя, я начну грязно матерится и делать
>> поддержкуSELinux в ALT. 
AK> Хе. А её там нет? Вот вам ваша хвалёная безопасность :) В Федоре есть.

А проку-то? SELinux это не волшебная палочка "поставил и сразу все
секьюрно". Мало его поставить, надо ещё и политики грамотно составить.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
> rebuild: rebuild of `cinepaint-0.18.1-alt1.1.src.rpm' failed.
оно еще живое? в морг!
		-- shrek in devel@

Подробная информация о списке рассылки smoke-room