Безопасность Линукса в опасности!

Наконец-то дошло. Скоро дойдет и про проблемы стандартизации...

Очень рекомендуется прочитать статью перед внесением комментариев.

Если это замечание относится ко мне, то мимо тазика. Я прочел статью и мой коммент абсолютно соответствует тем выводам, которые в этой статье приведены. При этом, я считаю, что ситуация хуже чем просто проблемы с децентрализованной безопасностью, проблема именно в стандартизации более высокого порядка, чем работа над ядром.

зы: Азбучная истина: безопасность системы определяется самым небезопасным ее элементом...

эхх.. вы тут обсуждаете а в это время www.miranda-im.org взломали. не могу в винде к аське плагин скачать.

Нет, не к тебе, не кипятись.

Я думал что-то серьезное, а это всего лишь аналитическая статья. Во многом она конечно же права, но уже кое-что поменялось в частности выпускаются патчи -as если не ошибаюсь, которые как раз и стараются закрыть уязвимости.

Я вижу, у тебя вообще обо всем ммение имеется, и всегда, само-собой, правильное

Только что новость "про это" была ("Крутая дискуссия" от 2 февраля).

Касательно данной статьи -- IMHO типичное, к сожалению, неумение взглянуть на мир не со своей колокольни.

Конечно, вопросы, поднятые в заметке, подлежат обсуждению (и интенсивно обсуждаются, см. "Крутая дискуссия" от 2 февраля). Но акценты автор расставил с позиции разработки более централизованных систем типа разного рода BSD и Соляры.

Статья сопливая, однако. Главное ложное данное, на котором она построена
заключается в приравнивании BSD* (читай: дистрибутивов) к линуксу-ядру.
Он сам же и отмечает этот факт, говоря о том, что связаться с
секьюрити-офицером конкретного линукс-дистра много проще и эффективнее.
Он фактически сам себе и отвечает. То есть, это не аналитическая статья,
а размышления вслух, ибо конечная информационная ценность "статьи" равна
нулю.

Ну, и второе: письмо Brad'a Spengler'a появилось 7-го, а 19-го вышло
обновлённое ядро с исправлениями, что опять же противоречит тезисам
"статьи". Покажите мне коммерческого вендора, который после багрепорта
некоего программера выпустит полноценное обновление к ОС через 12 дней.

Ну и ещё ключевой момент статьи - слова про "I'm a huge follower of
BSD-based operating systems". Понятно, что человек наивно пытается
натянуть стандарты BSD* на некий абстрактный линукс. Вопрос только,
для кого и для чего это нужно печатать.

> Но акценты автор расставил с позиции разработки более централизованных систем типа разного рода BSD и Соляры.

Ну, вообще говоря, это авторитеты в мире UNIX серверов. Махание рукой на опыт старшего поколения свойственно молодым. С годами проходит.

2macavity:

Ты (как и автор статьи, впрочем) отказываешься принимать специфику Линуха. Можно сколько угодно спорить о качестве, но нельзя не признавать наличие феномена Линукса. Стратегия развития этой системы отличается от стратегии развития упомянутых тобой авторитетов, и слепое копирование тактики, очевидно, есть просто глупость.

>Статья сопливая, однако. Главное ложное данное, на котором она построена заключается в приравнивании BSD* (читай: дистрибутивов) к линуксу-ядру. Он сам же и отмечает этот факт, говоря о том, что связаться с секьюрити-офицером конкретного линукс-дистра много проще и эффективнее. Он фактически сам себе и отвечает. То есть, это не аналитическая статья, а размышления вслух, ибо конечная информационная ценность "статьи" равна нулю.

У разработчиков ядра Линукс должны быть официальные мэйнтейнеры, занимающиеся безопасностью, на базе OSDL или без. Тогда не будет возникать вопроса кому посылать секьюрити репорты о найденных уязвимостях в ядре.

Секьюрити-офицеры конкретного дистра - это совершенно другое.

>Ну, и второе: письмо Brad'a Spengler'a появилось 7-го, а 19-го вышло обновлённое ядро с исправлениями, что опять же противоречит тезисам "статьи". Покажите мне коммерческого вендора, который после багрепорта некоего программера выпустит полноценное обновление к ОС через 12 дней.

Брэд Спенглер запостил full disclosure о найденных багах после трех недель (!) ожидания ответа, как он отправил письмо Линусу, может еще кому-то из разработчиков, только потом люди начали шевелиться и выпускать патчи. То есть все эти 3-4 недели баги существовали и никто не реагировал на них.

>Ну и ещё ключевой момент статьи - слова про "I'm a huge follower of BSD-based operating systems". Понятно, что человек наивно пытается натянуть стандарты BSD* на некий абстрактный линукс. Вопрос только, для кого и для чего это нужно печатать.

Причем тут стандарты? Надо все просто делать правильно!

> У разработчиков ядра Линукс должны быть официальные мэйнтейнеры

Кто это решил? Любители BSD* систем?

> Секьюрити-офицеры конкретного дистра - это совершенно другое

Ответь сам себе на вопрос: Другое по сравнению с чем?

> Брэд Спенглер запостил full disclosure о найденных багах после трех недель (!) ожидания ответа

И на такой вопрос: что случается, если ты ждёшь ответа на письмо,
которое послал по неверному адресу? ;)

>Кто это решил? Любители BSD* систем?

Поищи в Гугле, ключевые слова: Chris Wright, Security Contact Draft

>Ответь сам себе на вопрос: Другое по сравнению с чем?

Ты запросы по проблемам, связанные с каким-либо продуктом куда будешь отправлять?

>И на такой вопрос: что случается, если ты ждёшь ответа на письмо, которое послал по неверному адресу? ;)

Причем тут это? И что есть неверный адрес в данном случае, контексте статьи и письма Брэда?

да вобщемто все ясно как божий день 1) есть системы промышленного класса 2) есть ядро пингвина которое уделывает местами промышленные системы 3) все дружно бегут на дисты с ЭТИМ ядром, но при этом забывая что ядро написано только с одной целью - доказать всем что можно написать системы пром класса за нифига, но умалчивают про стабильность, супорт и т.п. отдавая это на откуп дистростроителям

Правильно чувак пишет. Не важно, говорим мы о дистре (xBSD) или только ядре, я хочу зайти на сайт проекта и сразу все увидеть, с кем и где контактировать по какому вопросу.
Линух - ядро, верно? Заходим на kernel.org. Ищем. Скачать ядра/патчи - Новости сервера - Что есть линукс - Новичкам в линуксе - ... о! Reporting Linux Kernel bugs. Неужто оно? Идем по ссылке http://kernel.org/pub/linux/docs/lkml/reporting-bugs.html, но там... general guide on how to ask questions in a way that greatly improves your chances of getting a reply. М-дя... ну ладно, там же еще ниже есть ссылка http://bugzilla.kernel.org! Идем, щелкаем Enter Bug. А там:
First, you must pick a category in which to enter a bug.
ACPI: Bugs related to ACPI.
Alternate Trees: Bugs against trees other than Linus' tree.
Drivers: Bugs related to device drivers.
File System: Bugs related to file systems.
IO/Storage: Bugs related to IO.
Memory Management: Bugs related to memory management.
Networking: Bugs related to networking.
Other: Bugs against components that can not easily be classified in the other categories; such as modules and configuration.
Platform Specific/Hardware: Bugs that are platform specific.
Power Management: Bugs related to power management.
Process Management: Bugs related to process management.
Timers: Bugs related to timers.

Ну и где тут про "секурити релатет багз". Это позор, в то время, когда другие вендоры на каждом углу орут "секурити, секурити, плиз репорт хере", линуксоядерщики неявно предлагают пихать репорты об очередном локалруте в Other: Bugs against components that can not easily be classified in the other categories; such as modules and configuration.

Статья ... конечно странноватенькая ....
IMHO спасение утопающих - дело рук самих 
утопающих.
Нашёл проблемму, исправил, опубликовал патч.

К тому же ... если упироаться в security можно не
заметит чего то, действительно важного.

> Поищи в Гугле, ключевые слова: Chris Wright, Security Contact Draft

Да мало ли у кого имеется своё частное мнение. И что, по мнению одного
человека был сделан вывод, что должны?

> Ты запросы по проблемам, связанные с каким-либо продуктом куда будешь отправлять?

По адресу, заявленному для таких целей. И это явно не почтовый ящик
Линуса Торвальдса. Про эти дела много писалось на lkml. Если бы человек
был не так наивен и чуть внимателен, он не напоролся бы на такие грабли.
Только при чём тут ядро? Это продукт? Как он сравним с bsd-дистрибутивом? А никак. Это вещи из разных категорий.

>я хочу зайти на сайт проекта и сразу все увидеть, с кем и где контактировать по какому вопросу.
Нехилое желание, а ты чистое ядро используешь? А, у тебя дистр стоит, наверное, а какой? Неужели LFS? :-). В зависимости от твоего себе ответа идешь на сайт дистростроителя и сразу все видишь и про секурность, и где купить, и где скачать.
Linux - он от всех остальных отличается, поэтому и развивается так активно, а если это кому-то не подходит, то это не проблема Linux-а.

> Ну и где тут про "секурити релатет багз".

Вообщето, сукурити это не компонент. Если у тебя в mmap дыра то ты и пиши что Memory Management:Page Allocator.

> Это позор, в то время, когда другие вендоры на каждом углу орут "секурити, секурити, плиз репорт хере",

Другие вендоры ЧЕГО? Другого ЯДРА ОС? Может пора уж понять разницу?

В машине барахлит мотор. Обращаемся на моторный завод, или всё-таки
в сервис от производителя всего авто?

>> Поищи в Гугле, ключевые слова: Chris Wright, Security Contact Draft

>Да мало ли у кого имеется своё частное мнение. И что, по мнению одного человека был сделан вывод, что должны?

Да какое мнение, уже начались действия по формированию такого списка и все это одобрили - Линус, Алан, ты все еще видишь в этом влияние БСД систем?

И еще, причем тут дистроклепатели? Если багу/уязвимость найдут в ядре Линукс, думаешь этой баги не будет в большинстве ядер от дистроклепателей? Как написал автор: "security must be proactive, not reactive." В одном дистре исправили - в другом нет? Сколько дистров - столько решений?

>> Ты запросы по проблемам, связанные с каким-либо продуктом куда будешь отправлять?

>По адресу, заявленному для таких целей. И это явно не почтовый ящик Линуса Торвальдса. Про эти дела много писалось на lkml. Если бы человек был не так наивен и чуть внимателен, он не напоролся бы на такие грабли. Только при чём тут ядро? Это продукт? Как он сравним с bsd-дистрибутивом? А никак. Это вещи из разных категорий.

Ладно, человек написал бы в LKML ну или куда-нить еще про удаленную уязвимость в ядре, и как бы ты скачал патчи, как бы ты обновил своё ядро - www.kernel.org в дауне, твой сайт любомого дистра в дауне, все основные сервера в дауне? Это, между прочим, слова, а точнее вопросы Алана Кокса (как обновиться, если все знают про багу, соотвественно все лежит).

Правильная статья - реальная, потому как постоянно идут репорты по батраку на ядра linux, и не стоит сейчас говорить о патчах типа ow или grsec - на многих ли дистрибутивах они стоят по умолчанию ? Начался новый 2005 год, уже в январе опубликованы local root эксплоиты на linux ядра декабрьского выпуска...

2dotcoder (*) (09.02.2005 13:39:01)
>www.kernel.org в дауне, твой сайт любомого дистра в дауне, все основные сервера в дауне?
Примеры в студию, сферического коня в вакууме не предлагать.

Из названия статьи речь идет о секурити ядра.. Интересно много таких кого сломали через ядро? Гораздо меньше чем через ftp. Как ни защищай открытое ядро любой косо писанный (или сконфигурированный)внешний сервис сделает такую дыру, что никакой "секурити офицер" ядра ее по жизни не закроет.

Секурити может быть партом кернела тока в закрытой системе (та же соляра ).

Типа сидели на нарах лет 5 и увидели что одной стены не хватает.

> Вообщето, сукурити это не компонент.


между "security" и "security related" разницу видишь?

> В зависимости от твоего себе ответа идешь на сайт дистростроителя и сразу все видишь и про секурность, и где купить, и где скачать

а дистростроителю как уведомлять киперов ядра о багах? самому независимым скопом писать патч и публиковать его только для своих юзеров?

к тому же, если так, то на kernel.org стоило написать "обращайтесь к вендорам своего дистра". Но нет, там есть багзилла, добро пожаловать репортить баги. Просто не выделена графа "секурити". Это и осуждается.

2toxa (*) (09.02.2005 13:45:20)
>а дистростроителю как уведомлять киперов ядра о багах?
Ты так сильно переживаешь за дистростроителей? Сами разберутся, им за это деньги платят.
>самому независимым скопом писать патч и публиковать его только для своих юзеров?
Исходники патченых ядер в открытом доступе, однако :-)

анонимус ты че хочеш доказать, что все это бнопня ? для твоего домашнего компа вполне, но не для промышленного использования.

>>www.kernel.org в дауне, твой сайт любомого дистра в дауне, все основные сервера в дауне? >Примеры в студию, сферического коня в вакууме не предлагать.

А случаи с Дебианом, с Саванной тебе недостаточно?

И да, как дистроклепатели сообщат о найденных уязвимостях в апстрим?

> но не для промышленного использования

А ничего он не хочет. Промышленное использование лин это личное желание и ответсвенность сисадмина.

ЗЫ. Несмотря на "плохое положение с секурити" в лин он imho весьма неплохо защищается.

балмером чтоли?

Тебе ж правильно человек говорит: ошибки в компонентах - это просто ошибки, а не security или не-security. Security - это только проявление в определенных приложениях.

Что по твоему должен делать человек, который занимается security? Пинать разработчиков тех или иных компонентов, чтобы они переключались с того, чем они занимаются и начинали править наиболее беспокоющие тебя ошибки? Или чтобы сами полезли в чужой код и начали там все ломать?

Ошибке может быть присвоен severity level, но опять же, это не есть приоритет. Мне, например, абсолютно пофиг сколько потенциальных дыр в Linux, если у меня само собой ничего не падает (ну то есть меня этот факт раздражает сам по себе, но я считаю, что зачастую есть ряд более приоритетных задач, которые нужно решать).

Другая проблема, что сама по себе архитектура Linux в некоторых местах настолько корява, что там и дедлоков и крэшей и дырок может быть столько, что мама не горюй (так уж проявляется неблагородное происхождение Linux - свежий код более-менее ничего).

2Die-Hard: Я согласен, более того, предлагаю и тебе признать, что слепое отметание очень походе на слепое следование. В этом смысле ключевым является слово "слепое". Надо все делать с пониманием. Не все то, что отмел лишнее, как не все, чему следуешь правильное.

зач0000т )))))))))))

2macavity (09.02.2005 14:25:55):

Согласен :)

Однако, никто ж и не отметает, идет дискуссия.

токсик а чего бы тебе не подписаться на lkml и потом только трындеть? твою фанатичную приверженность bsd мы все уже давно знаем. потому и твое субъективное мнение никому тут не интересно. ибо истинное положение вещей тебе мешает видеть красная пелена

через lkml

похоже что неанонимные эксперты лора такие же васи пупкины услышавшие звон

>Азбучная истина: безопасность системы определяется самым небезопасным ее элементом...

то есть тупым пользователем, которого не пропатчишь и не заапдейтишь.

Читаю этот тред и просто валятся хочется... :) Что будет с того, что если в баг траке введут раздел секурити? Туда будут слать все патчи, будет один тока раздел. Потому как все ошибки это секурность, неправильное чтение сектора - результат паники ядра - чем не ДоС?

Сделано же с умом! Нашел баг в модуле виртуальной пямяти - забрось в раздел. Разумней было бы не создавать отдельный раздел, а сделать атрибут, когда постишь баг. Типа что он секурный, инициализация железа, женерал к примеру. И не будет траблов и таких флеймов.

Все это ИМХО.

>> Азбучная истина: безопасность системы определяется самым небезопасным ее элементом...

> то есть тупым пользователем, которого не пропатчишь и не заапдейтишь.

Не согласен. Для того и существуют системы безопасности, что защитить систему от _любых_ (умышленных и неумышленных) вредоностных/опасных действий пользователя. Если в системе нет защиты от дурака, то она плохая (это тоже азбучная истина).

>Для того и существуют системы безопасности, что защитить систему от _любых_ (умышленных и неумышленных) вредоностных/опасных действий пользователя

Ну да согласен, самый безопасный комп - выключенный, сложенный в бетонный саркофаг и закопанный на глубине 500 м в землю... :)

Это идеальная система! А в реальности root - это тоже пользователь и как от него защитить систему? :)

> Это идеальная система! А в реальности root - это тоже пользователь и как от него защитить систему? :)

Внедрить мандатную систему прав доступа.

Не уверен, что это выход. Локальный доступ остается, а без него никак. Либо надо делать сервера в стиле одноразовых фотоаппаратов.

А исходя из этих догм, что были вверху - то движение в сторону оффтопика. Объяснение здесь одно - в MS Windows - есть такой пользователь localsystem - это действительно бог в системе. Администратор ему в подметки не годится. :(

А иногда таких прав как у localsystem ооооочень не хватает.

... в догонку - не только сервера, но и дургие системы... Сам подумай, когда кончится время мандата - что делать? Или я чего-то не понимаю, тогда объясни, плз.

> Или я чего-то не понимаю, тогда объясни, плз.

Посмотри SELinux на сайте fedora core.

2macavity >Внедрить мандатную систему прав доступа.

Да, да. А мандаты пусть раздает юзер "ман"...

Кажется статья не про секурити, а про плохую систему ее поддержки. На мой взгляд преднамеренное сгущение красок - с патчами в лин дела обстоят несколько лучше чем даже в платных системах.

я чуть со смеха состула не упал..... з.ы. больше не делай так.

А как же феномен соц революции ? И к чему он привел ? Идя то хорошая да люди часто ленивы и самоуверенны.

Нет никакого феномена. Ты разве не писал с нуля свои библиотеки, а патом с горечью находил уже готовые и _гораздо_ лучшие? Если нет - то для тебя это феномен (читай круто). Как только поймешь что колеса все круглые как никрути - феномена то как и не бывало.