LINUX.ORG.RU

Что с безопасностью в релизных и роллинговых дистрах?

 , , ,


0

1

Сразу скажу эт не холивар и не срач.

Ну вот смотрите. Я не буду прям переписывать все примеры. Их хватает можете погуглить. Просто наблюдение такое администратора локалхоста. Есть такие дистры которые вроде себя позиционируют безопасно стабильными типо дебиана убунты лтс опенсуси ну и тд. Вот давайте посмотрим на примере убунты лтс. Есть такой популярный почтовый клиент тундерберд. В лтс убунты там версия что то типо 68.10 а это даже не последний минорный релиз этой лтс ветки. Последний 68.12 и вышел он с фиксом критичных секурити багов еще в августе 2020. Но и это еще не самое интересное. А самое интересное в том что 68 ветка уже несколько месяцев ЕОЛ и дальнейшие ошибки безопасности в ней не стали фиксить. Их пофиксили в новой лтс ветке 78. К 78 ветке уже вышло 4 или 5 минорных версий и куча патчей. Ну вы поняли. То есть хватает проблем с безопасностью.

Это я к чему. Вот убунту лтс типо безопасная и стабильная рабочая лошадка в которой поставляется изкоробки (тундерптица дефолтное почтовое приложение) проблемное по с серьезными дырами которе не обновляется месяцами. Да можно много спорить о причинах, что типо ап на новую мажорную версию это проблемы для клиентов и тд и тп, но как факт дыра осталась. И это у крупной компании которая этим спецом занимается. Спецом выкатывает в прод систему под рабочие станции и даже торгует этим. Они вроде даже из минуса выбрались торгуя облачными решениями и десктопной осью с поддержкой. А в дебиане все еще хуже. В сусе тоже куча таких вещей. Все это сводиться к одному. Проблемы с безопасностью не важно сервер это или десктоп могут обнаружиться в любой проге но из-за рамок, в которые себя поставили распространителя релизных версий они не могут закрыть эти баги обновлением на новую мажорную версию. Да что там говорить даже на минорные версии есть проблемы с обновлениями.

C другой стороны у нас роллинги под разным соусом. Я не говорию щас про совсем печальные проекты типо манжары и тд которые тупо паразиты. Я про реальные дистры типо арча солуса никсос центос стим или стрим и тп. Вот прикиньте. Там все выходит достаточно быстро. Ну точно быстрее чем в релизе не говоря уже о том, что спокойно апают мажорные версии после предварительной проверки. Ну да бывают проблемы. Но щас ведь 100500 инструментов для того чтобы не обосраться при обновлениях. И снапшоты вам и контейнеры и прочая дребедень. Так что мешает просто не делать мозги себе и клиентам а просто взять нормальный роллинг, запилить изкоробочную систему бекапов на случай факапа ну и добавить в панели для серверов все это барахло и жить спокойно. МОжно ж даже автоапдейты поставить раз в неделю и если че достать бекап или снапшот. Че не так с этой схемой? Только про мы любим что б все стабильно было не говорите. Это ж не ссср все уже пережили это. Уже понятно что мир это подвижная штука и надо двигаться вместе иначе забей. Че думаете?

почему это так смешно

Сразу скажу эт не холивар и не срач.

Я не буду прям переписывать все примеры. Их хватает можете погуглить. Просто наблюдение такое администратора локалхоста.

Princesska ★★★★ ()

Я про реальные дистры типо арча солуса никсос центос стим или стрим и тп.

Найдите лишнее слово.

papin-aziat ★★★★★ ()

Это от непонимания отрасли, никто не будет переписывать свои софты на всё новое. Легаси жил, жив и будет жить. И покуда там есть бабки, будут и те, кто делает стабильную ОС с обратной совместимостью и мощной поддержкой. А стабильность в первую очередь именно в совместимости, остальное заткнут админы, насколько смогут.

Че думаете?

Роллинг подходит для десктопа, и то не во всех случаях. И чтобы сайтиГг на пыхопэ захостить.

печальные проекты типо манжары и тд которые тупо паразиты

Манжара - паровоз, коим раньше была убунта. Благодаря ей в линукс приходят новички, кто-то из них донатит или становится кодером. Она популяризует арч, что хорошо для его репозиториев. А ещё у неё есть свои наработки, не такие говённые, в отличие от.

InterVi ★★★ ()

Вкратце, какие там дыры не закрыты в громоптице? Сам не пользуюсь, но после чудес с ffmpeg в openSUSE темой заинтересовался

gutaper ★★★★ ()
Ответ на: комментарий от InterVi

ещё у неё есть свои наработки, не такие говённые,

Несомненно список наработок у них просто огромен и портянку сюда не стоит пихать. Но хотя бы пяток полезных, которые используются за пределами этой манжары?

gutaper ★★★★ ()
Последнее исправление: gutaper (всего исправлений: 1)
Ответ на: комментарий от Linux_Newbie

https://www.debian.org/security/2020/dsa-4802

Так какие критичные заплатки не пришили в частности в дебиане? Пока что ты голословен немного. И список по твоей ссылке не показывает вообще ничего насчёт дырявых пакетов в дебиане

gutaper ★★★★ ()
Последнее исправление: gutaper (всего исправлений: 1)
Ответ на: комментарий от gutaper

Ты прочитай еще раз внимательно пост. Я привел пример с тундерптицей в убунте а не в дебиане. Это два разных дистра если че. Но в дебиане тоже хватает таких пакетов которые не могут обновить.

Linux_Newbie ()
Ответ на: комментарий от Linux_Newbie

А в дебиане все еще хуже.

Ну вот и хотелось бы лицезреть Пруфца Борисыча

gutaper ★★★★ ()

Я не говорию щас про совсем печальные проекты типо манжары и тд которые тупо паразиты.

Не угадал автора по тексту. Думал, @chenbr0 опять беснуется.

Korchevatel ★★★★★ ()
Ответ на: комментарий от InterVi

Не паровоз, а локомотив прям. Что такое pamac пришлось аж загуглить, настолько это популярная штука.

Так запределами манжары кому это надо все? Аж целый нескучный пакетный менеджер.

Про нескучные обои вообще круто, да. Это стоит отдельного дистра.

gutaper ★★★★ ()
Ответ на: комментарий от gremlin_the_red

Ну да, кому-то время убить в танчиках после школы. Кому-то это.

Пусть лучше так. Полезный дистр, да. А то бы в подъездах нюхали бы диски убунты.

gutaper ★★★★ ()
Ответ на: комментарий от InterVi

польза популярности

Арчеводов только забыли спросить. У них, напомню, политика по прежнему примерно такая: если ты не поставил арч (арч, а не артикс/endeavour/manjaro/etc) ручками по гайду, то у тебя не арч. Помощь не оказывают, посты на форумах/реддите трут

Midael ★★★★★ ()
Ответ на: комментарий от Linux_Newbie

Это два разных дистра если че

Тут все сложнее. Люди из убунты мейнтейнят пакеты в дебиане. В свою очередь убунта очень много пакетов подсасывает напрямую из дебиана (если не все). Пересечение довольно глубокое. Есть конечно отдельные вещи, которые у убунты за закрытыми дверями и даже в апстрим не коммитятся (типа переводов)

Midael ★★★★★ ()

Уже понятно что мир это подвижная штука и надо двигаться вместе иначе забей. Че думаете?

Я думаю, что ты слабо разбираешься в теме. Что удивляет, в инструментарии тоже плывёшь.

Вывод один, коряво набрасываешь. Учись, сына. Тролль - это призвание!

white_bull ()
Ответ на: комментарий от Midael

Помощь не оказывают, посты на форумах/реддите трут

Реально? Неадекват какой-то. Считают себя избранными что ли, если осилили установку арча. Как масонская ложа.

Riniko ★★ ()

Ты неправильно понимаешь безопасность и стабильность в lts дистрах. Это про то что все баги задокументированы и известны и есть какие-то воркэраунды или информация о том чего нельзя делать, а не про то что они все пофикшены.

peregrine ★★★★★ ()

Так что мешает просто не делать мозги себе и клиентам а просто взять нормальный роллинг, запилить изкоробочную систему бекапов на случай факапа ну и добавить в панели для серверов все это барахло и жить спокойно. МОжно ж даже автоапдейты поставить раз в неделю и если че достать бекап или снапшот. Че не так с этой схемой?

Всё так с этой схемой. Можешь выкатить её себе и клиентам хоть завтра, я разрешаю :))

Lrrr ★★ ()

Тс, что бы тебе тут не рассказывали в коментах, протухший лтс софт это не адекватная ситуация, более того много десктоп софта вообще не имеет лтс веток в отличии от серверного

gosha36 ★★ ()

Если коротко - идея имеет смысл на жизнь. Но это сделать очень тяжело и есть очень много подводных камней. Плюс есть немалая часть систем где обновление которое может уронить систему, даже раз в месяц - это неприемлемо. И не стоит забывать - чтобы проблемы обновления могу всплыть не сразу, далеко не сразу.

Поводу громоптицы - а вы точно уверены, что уязвимость достаточно серьезное и исправление не было бэкпортировано разработчиками убунты? А то внезапно так открою одну тайну - в той же убунте на часть пакетов накладывают достаточно много патчей, в результате чего программа может несколько отличаться от оригинала.

Kazun3500 ()

это не ты вчера с другого аккаунта про дерьмо писал?

ekt85 ()
Ответ на: комментарий от Kazun3500

Поводу громоптицы - а вы точно уверены, что уязвимость достаточно серьезное и исправление не было бэкпортировано разработчиками убунты?

Да, всё верно - с дырами.

Но это же десктопные линуксы. Это даже страшно представить какая рыночная доля, чтобы и Thunderbird и Ubuntu LTS было бы у пользователя.

Джо в полную силу

https://bugs.launchpad.net/ubuntu/bionic/+source/thunderbird/+bug/1895643

thunderbird (1:68.10.0+build1-0ubuntu0.20.04.1) focal; urgency=medium

  * New upstream stable release (68.10.0build1)

 -- Olivier Tilloy <olivier.tilloy@canonical.com>  Wed, 01 Jul 2020 16:11:55 +0200

https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/

Не все пакеты одинаково полезны. Тут так же много раз указывали на дырявый Chromium в Debian.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 4)
Ответ на: комментарий от fornlr

в Debian testing Chromium выпилили, в связи с проблемами безопасности. Рекомендуют Firefox.

As of 2021-01-03 16:59:07, Debian’s Chromium package in the repositories for stretch remains vulnerable to numerous CVEs as outlined in the Chromium Security Tracker. Chromium in buster and sid, however, remain up-to-date. Consider using an alternative browser like Firefox if you are on stretch.

ПруфцЫ:
https://wiki.debian.org/Chromium

white_bull ()
Ответ на: комментарий от white_bull

Странно, поправили. Раньше было 25 декабря и проблемы в testing.

white_bull ()
Ответ на: комментарий от Kazun3500

Короче

sudo apt purge thunderbird
sudo snap install thunderbird

И дыр нет.

fornlr ★★★★★ ()

я по образованию специалист по информационной безопасности и пришел к выводу что нет безопасных операционных систем и программ. если надо то в любой проект занесут денег и выйдет срочное обязательное обновление с новой дырой.

хотите не заразиться через интернет - отключите интернет.

чтобы быть безопасным - надо определять эту безопасность. т.е. быть в топе пищевой цепочки, что непросто. альтернатива это быть как амиши в Америке или староверы у нас - идти в лес. но это тупиковый путь.

jura12 ()

Что с безопасностью в релизных и роллинговых дистрах?

Cмотрите также главу 22 «Безопасность» в книге: UNIX и LINUX Руководство системного администратора 4-е издание Эви Немет Гарт Снайдер Трент Хейн Бэн Уэйли и другие Москва - СПБ - Киев 2012

anonymous ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей