[room] Ubuntu servers hijacked, used to launch attack

Денис Смирнов =?iso-8859-1?q?mithraen_=CE=C1_altlinux=2Eru?=
Вс Сен 2 13:21:55 MSD 2007 

On Mon, Aug 20, 2007 at 03:11:07PM +0400, Dmitry Derjavin wrote:

>> Если взять сегодняшний сервер и оставить на год без обновлений, и то
>> же самое сделать с убунтой какой -- у меня будут сомнения что через
>> год наш будет легко взломать.
DD> Не показательно. Это и есть тот самый "физический сервер в вакууме".
DD> Рабочий сервер без обновлений в течение года -- нештатная ситуация.

Напомню что одна из ошибок в sshd которая была исправлена ldv@ _годы_
назад недавно у всех вылезла. Столько времени была security ошибка в sshd,
и если ldv@ не один такой умный, то она возможно эти годы
_эксплуатировалась_.

Надеюсь не надо объяснять что с момента обнаружения ошибки разработчиками
до момента выполнения обновления на конкретной машине часто проходят
дни?

>> В том же что такое можно будет проделать с убунту у меня сомнений
>> нет.
DD> Лучше прикиньте, что будет, если те же два сервера в течение того же
DD> года обновлять _только_ из официальных репозиториев, включая
DD> security-updates. В этом случае по поводу Ubuntu у меня тоже сомнений
DD> нет. А с нашим сервером -- очень сложно будет сказать, в каком он
DD> окажется состоянии.

Я скажу страшную вещь -- я Сизифу доверюсь больше чем Ubuntu. А в случае с
Server 4.0 я достаточно хорошо знаю release manager'а чтобы ему доверять,
и чтобы быть увереным что на некоторых машинках я могу даже apt-get
upgrade поставить в cron без опасности для жизни.

Наиболее критичные компоненты у нас поддерживаютсяя одним человеком,
который является достаточно параноидальным чтобы можно было не бояться что
он поленится сделать security update. Кроме того у нас достаточно хорошая
команда, чтобы люди друг-другу активно помогали. Вон на днях Миша Шигорин
из nginx initscript сделал сказку.

Связано это с тем, что большая часть пакетов в сизифе _активно
используется членами team_. Дистрибутивы где поддержка организуется в
основном за зарплату может и обеспечивает большую предсказуемость, но,
увы, это предсказуемо низкое качество. А здесь хоть и менее предсказуемо,
зато качество выше.

>> Слишком много усилий к нашему серверу прикладывается, чтобы
>> обеспечить таки security.
DD> Да, в 4.0 ситуация меняется в лучшую сторону. И это радует, конечно.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Присылайте патчи.
		-- ldv in devel@

Подробная информация о списке рассылки smoke-room