[room] Ubuntu servers hijacked, used to launch attack
Денис Смирнов
=?iso-8859-1?q?mithraen_=CE=C1_altlinux=2Eru?=
Вс Сен 2 13:21:55 MSD 2007
On Mon, Aug 20, 2007 at 03:11:07PM +0400, Dmitry Derjavin wrote:
>> Если взять сегодняшний сервер и оставить на год без обновлений, и то
>> же самое сделать с убунтой какой -- у меня будут сомнения что через
>> год наш будет легко взломать.
DD> Не показательно. Это и есть тот самый "физический сервер в вакууме".
DD> Рабочий сервер без обновлений в течение года -- нештатная ситуация.
Напомню что одна из ошибок в sshd которая была исправлена ldv@ _годы_
назад недавно у всех вылезла. Столько времени была security ошибка в sshd,
и если ldv@ не один такой умный, то она возможно эти годы
_эксплуатировалась_.
Надеюсь не надо объяснять что с момента обнаружения ошибки разработчиками
до момента выполнения обновления на конкретной машине часто проходят
дни?
>> В том же что такое можно будет проделать с убунту у меня сомнений
>> нет.
DD> Лучше прикиньте, что будет, если те же два сервера в течение того же
DD> года обновлять _только_ из официальных репозиториев, включая
DD> security-updates. В этом случае по поводу Ubuntu у меня тоже сомнений
DD> нет. А с нашим сервером -- очень сложно будет сказать, в каком он
DD> окажется состоянии.
Я скажу страшную вещь -- я Сизифу доверюсь больше чем Ubuntu. А в случае с
Server 4.0 я достаточно хорошо знаю release manager'а чтобы ему доверять,
и чтобы быть увереным что на некоторых машинках я могу даже apt-get
upgrade поставить в cron без опасности для жизни.
Наиболее критичные компоненты у нас поддерживаютсяя одним человеком,
который является достаточно параноидальным чтобы можно было не бояться что
он поленится сделать security update. Кроме того у нас достаточно хорошая
команда, чтобы люди друг-другу активно помогали. Вон на днях Миша Шигорин
из nginx initscript сделал сказку.
Связано это с тем, что большая часть пакетов в сизифе _активно
используется членами team_. Дистрибутивы где поддержка организуется в
основном за зарплату может и обеспечивает большую предсказуемость, но,
увы, это предсказуемо низкое качество. А здесь хоть и менее предсказуемо,
зато качество выше.
>> Слишком много усилий к нашему серверу прикладывается, чтобы
>> обеспечить таки security.
DD> Да, в 4.0 ситуация меняется в лучшую сторону. И это радует, конечно.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
Присылайте патчи.
-- ldv in devel@
Подробная информация о списке рассылки smoke-room