Дискуссия о потенциальных проблемах безопасности в Debian

никто в никаких диффах исправления безопасности не ищет. Безопасностью занимаются не мейнтейнеры, а специальные команды.

Команды из людей вы имели ввиду? Или может команды машинного кода? А то я не понял если никто не смотрит в диффы то как исходники правятся? На фонарь?

Найдите для интереса пруф где какой нить пакет (только не ядро или другие пакеты без которых дебьян не заведётся), хоть тот же блендер, в который мейнтейнеры дебьяна пофиксили какую-то дыру. Посмотрим вместе на патч, если найдёте такой конечно. Лично моё мнение что дыры дебьяновцами латаются только в ядре, а всякие там сабжевые xscreensaver'ы либо валяются в репе дырявые либо просто дропаются. Справедливости ради надо сказать что это влияет на безопасность системы, а не на её стабильность.

Я думаю он там может быть не рабочим в силу древности.

это как, байтики протухают?

Ок, ладно, уговорил

Отвечал выше

а зачем, по вашему, на компьютеры ставят всё более мощное охлаждение?

я имел ввиду что в дистре со временем что то меняется,

в стейбле?

меня вполне устраивает Debian 7 old-stable, который хрипящий Wheezy как на серверах, так и на десктопе, а уж если приспичит, то заготовлены каталоги jessie и xenial для новья, ну там chroot или LXC, в ближайшие 1-2 года переход на Debian v8 НЕ планирую однако на основной железке, потому как даже stable пока еще глюковаст

понятно, семерка с бэкпортами и другими заплатными репами ядро 3.16 bpo, а на кой что-то новее?

работает как часы, никаких сюрпризов, в т.ч. неприятных

венда та и вовсе XPюшка

на кой что-то новее

Да тут скорее почему бы и нет? Можно конечно через релиз прыгать, чтоб реже обновляться, но ждать выхода 9ки, чтоб пересесть на 8ку как-то странно.

Да тут скорее почему бы и нет? Можно конечно через релиз прыгать, чтоб реже обновляться, но ждать выхода 9ки, чтоб пересесть на 8ку как-то странно.

да мне без разницы как эти версии обзовут или пронумеруют, лишь бы они мое время не тратили поисками решения глюкобажных вопросов

Найдите для интереса пруф где какой нить пакет (только не ядро или другие пакеты без которых дебьян не заведётся), хоть тот же блендер, в который мейнтейнеры дебьяна пофиксили какую-то дыру.

https://www.debian.org/security/2008/dsa-1567

Лично моё мнение что дыры дебьяновцами латаются только в ядре, а всякие там сабжевые xscreensaver'ы либо валяются в репе дырявые либо просто дропаются.

Пользователям Арча и прочим хомячкам такие идиотские мнения простительны, так как абсолютно ни на что не влияют.

Мда... при Мердоке такого не было, жаль, дистрибутив начинает скатываться...

Как раз при нем такое и было - в репозитории версия приложения от 2014 года.

ЕМНИП, там обычно есть исходники,

не всегда. вот напрмер

https://packages.debian.org/wheezy/teamspeak-client

Так на той же странице и ссылка на исходный код:

teamspeak-client_2.0.32.orig.tar.gz 	7,743.4 kB 	328c9a473bc7fb2a9f021933039dff92

так ты загляни в этот *исходный код*. :) я просто не нашёл, как содержимое через веб расшарить

ещё можешь в пакет rar заглянуть, и там тоже исходный код поискать :)

Вот так: https://sources.debian.net/src/teamspeak-client/2.0.32-3.1/setup.data/image/

Да, это не совсем тот исходник.

Найдите для интереса пруф где какой нить пакет (только не ядро или другие пакеты без которых дебьян не заведётся), хоть тот же блендер, в который мейнтейнеры дебьяна пофиксили какую-то дыру.

Блендер, говоришь? - https://www.debian.org/security/2015/dsa-3218

это не исходник, это бинарник. зависимость к библиотеке ia32 показывает, что это прибитый к i386 бинарник

если ничего не путаю, там даже где-то .exe было в исходниках, и прибито к wine.

Отвечу вам, а то у анонимуса протеиновая диета. Я сразу его неадекватность заподозрил когда он утверждал что правки вносятся не глядя в сырцы.

Как я уже говорил такой подход подвержен ошибкам на каждом из этапов.

Далее цитирую:

Нужно курить диффы чужого кода, разбираться что в этом диффе исправление безопасности а что другая фича (и разбираться не всегда правильно) править патчи самостоятельно (и вносить новые ошибки), т.к. это исправление уже опирается на другой более новый код, а в дебьяне пакет до сих пор прошлогодний.

Такой подход будет работать только для небольшого набора качественных пакетов с красивым исходным кодом, (к коим относится ядро, окружение, веснот и блендер) тогда мейнтейнеры будут примерно знакомы с пакетами и лажать реже. А в дебьяне пакетов тыщщи.

ага. поэтому на серверном рынке Debian выбирают всех 13% пользователей, а основанную на нём Ubuntu - 23% пользователей.

http://www.w3cook.com/os/summary/

наверное, они там только в веснот играют и в блендере рисуют

не, это надо же такое ляпнуть про ОС, которой ДОВЕРЯЮТ многие, в том числе крупные, компании

Хороший коммент с опеннета

Да на опеннете вообще чудики. Они там додумались написать, что непринятие новых фич (в которых потенциально есть новые баги) уравновешивает незакрытие старых багов. А оно нифига не уравновешивает. Вот баг в новой фиче, который закрыли через два месяца, и баг в старой дебиановской версии, который висит там уже два года. Допустим, что оба бага могли быть использованы злоумышленником (так что это уже даже не баги, а дыры в безопасности, но пока никто не заметил, что это дыры). Какая из них опаснее? Какая даёт злоумышленнику больше возможностей изучить код, подготовить эксплоит? Так что оно нифига не уравновешивает в общем случае. Нужно смотреть на то, через какое количество времени конкретный баг был закрыт.

поэтому на серверном рынке Debian выбирают всех 13% пользователей, а основанную на нём Ubuntu - 23% пользователей.

Самое смешное, что Дебиан как раз самый хипстерский с заморозкой всего на 2 года. У Убунты это 5 лет. У Red Hat и CentOS - 10 лет. Говноарчик там даже рядом не валялся, нигде в индустрии про него даже не слышали.

Этот харковский иксперд совсем уже заврался и откровенно сливает.

Что делает программа для блокировки рабочего стола в репах серверного дистрибутива конструктора для серверных дистрибутивов?

Раздражает.

Самое смешное, что Дебиан как раз самый хипстерский с заморозкой всего на 2 года. У Убунты это 5 лет.

ну, LTS у дебиана и у убунты выходят раз в два года.

поддержка у дебиана 3 года полная + 2 года LTS. у убунты же 5 лет, но только для секции main, секция unniverse поддерживается... не помню, сколько, вроде бы тоже 3 года, и с Debian у них равенство. но могу и напутать, там разница в деталях и нюансах.

Проблема в том, что автора хрен убедишь, что кроме багфикса НИКАКИХ изменений быть не должно. И багфикс видимых снаружи изменений вносить не должен, если это вообще возможно.

Сначала мы просто пользуемся софтиной, потом начинаем создавать разработчику неудобства, а потом ещё и заявляем «а ты взвали на себя работу по фиксу ошибок не только в актуальной, а ещё и в прошлых версиях, тогда мы перестанем тебе мешать». А то, что в новой версии код уже не совпадает со старой и человеку надо тратить своё время, чтобы разбираться, как эту ошибку запатчить в старых версиях, на это нам плевать.

Вот про это я и говорил - потребитель нагл. Таких потребителей надо слать лесом, что автор скринсейвера и сделал с Дебианом.

а потом ещё и заявляем «а ты взвали на себя работу по фиксу ошибок не только в актуальной, а ещё и в прошлых версиях, тогда мы перестанем тебе мешать».

Как раз наоборот, фиксы ошибок в прошлых версиях нафиг не нужны.

Таких потребителей надо слать лесом, что автор скринсейвера и сделал с Дебианом.

От этого Дебиану ни холодно, ни жарко. Чувак начал ныть, не удосужившись разобраться в проблеме. Как и лоровские хомячки.

Может и так. А может это просто куча стартапных хипстеров на Амазоне накликала. Кто ж наверняка знает-то? К тому же, там статистика только по веб-серверам, а серверный рынок — это не только веб-серверы. Так что твои выводы, мягко говоря, так себе.

/opt не нужен. Нужно допиливать xdg-app, и тащить всю проприетарщину туда.

Как мне видеться тут проблема чисто техническая. Дебра мыслит разработкой софта критериями 80х-90х, когда ты выпускаешь версию программы, потом начинаешь собирать багрепорты, фиче реквесты, деволопишь, накапливаешь это все и выпускаешь новую версию софта. Проблема в том что с 90х мы немного поменялись и сейчас очень большая часть софта пишется в конвейерном темпе внося багфиксы и новые фичи нон стоп (ффмпег, например). А некоторый софт так и вовсе версионо-релизности не имеет, существуя в виде гит ветки. Тут вопрос даже не конкретно Дербы а вопрос того как доставлять софт конечному пользователю. Как мне кажется тут ущербна сама концепция репозиториев, как доставки софта, минусов в ней больше чем плюсов. Одной libc достаточно пересобрать и вся репа превратиться в говно. Хотя разным программам может понадобиться разная версия.

Как мне кажется нужна новая идеологическая и техническая модель. Которая будет более гибкой к изменениям. Рискую быть забит зассаными тряпками, но как вариант, модель что-то вроде стора. Когда у нас есть собственно core, base system если хотите, сама система os, из «столбов» и «титанов». И собственно сам стор, где разработчик сможет собрать свой пакет нужной ему версии опираясь либо на системные зависимости дистрибутива либо на свои, статически или динамически, какие ему нужны. Имея несколько разных версий одной и той же программы от разных людей, с относительной легкостью добавления их в стор, с системой лайков\жалоб для убивания не добросовестных пакетов ну и т.д.

В любом случае то что существует сейчас это просто система накапливания костылей и грязных хаков к устаревшим версиям программ.

Как мне кажется нужна новая идеологическая и техническая модель

Дебиан это такой совок. До последнего будут делать умный вид, что всё идёт по плану.

Дебиан это такой совок. До последнего будут делать умный вид, что всё идёт по плану.

Дебиан это как раз очень современный и либеральный дистрибутив. Тот же RHEL или CentOS намного более консервативные. А всякие Слаки, Генты и Арчи - это вообще колхоз с парой алкашей.

Debian излишне бюрократизирован. Но, собственно, это и гарантия сохранения его качества. :) Броситься добавлять новые фичи легко - также, как легко растерять тех, кто ценит Debian за предельную предсказуемость и высокое качество :)

И я бы не ставил в один ряд Слаку, Генту и Арч. :) Слака - консерваторы, Генту - кружок авиамоделистов-затейников, а Арч - это... это секта, которая пытается создать идеальное общество в отдельно взятом дистрибутиве, и уничтожить всех тех, кто в это идеальное общество не вписывается :)

Пользователи создают сообщения об ошибках в багтрекере Debian, откуда их посылают с этими ошибками в апстрим к разработчикам программ. Тем самым, впустую тратится время мейнтейнеров (на закрытие багрепортов), пользователей (на сообщения об уже исправленных ошибках) и разработчиков (на разъяснения пользователям того, что ошибка уже не первый год, как исправлена). Страдает и репутация проектов.

Если все устраивает то за каким вы такое устраиваете и пишите ему всякую чушь в багтрекер.

То, что ПО устаревает быстро и становится негодным и небезопасным, ни мантейнеры ни дистрописатели к этому мало причастны. Да и глупо кого-то заставлять из под палки. Вы наверно не раз радовались в «кавычках» очередному устареванию или новшеству, прекрасно работавшего софта или железки...

Причина кроется, в первую очередь в непродуманности архитектуры и отсутствии приоритетов чтобы это все работало годами и могло без проблем и кучи зависимостей обновляться не ломая работающую систему...

Ничего плохого нет в ультра консервативной политике дистра (даже много хорошего), если это не создает проблем с безопасностью или можно без проблем поставить патчи безопасности... Но именно тут необходимы в идеале продуманные возможности архитектуры софта и возможности для бекпортирования.

Арч - это... это секта, которая пытается создать идеальное общество в отдельно взятом дистрибутиве, и уничтожить всех тех, кто в это идеальное общество не вписывается :)

А кто-нибудь может объяснить, зачем он вообще кому-то сдался, помимо пространных лозунгов про KISS, минимализм и элехантность. Чем он отличается от Debian sid, кроме отсутствия кучи пакетов и архитектур?

Дебиан это такой совок.

Смотрю и специалист по Debian подтянулся.Ваше мнение очень важно для нас. Пожалуйста, оставайтесь на линии...

А в чём суть модели развития арча? Роллинг-ветки есть не только в арче, если что. И у арча нет ветки для продакшона, это чисто васянский десктопный дистрибутив.

Ну, не знаю, можно ли назвать специалистом человека, который несколько раз в разные года тыкал длинной палкой в эту яму с говном)

Кстати, мантейнеры уже научились там собирать KDE чтобы оно не глючило и не тормозило так, как не глючит и не тормозит больше нигде?

А в чём суть модели развития арча? Роллинг-ветки есть не только в арче, если что. И у арча нет ветки для продакшона, это чисто васянский десктопный дистрибутив.

Вот мне тоже интересно. Сплошные лозунги и знамя, но никаких технических особенностей я что-то не заметил. На деле очередной колхоз.

в эту яму с говном)

Конечно, как я понимаю, пруфа не будет? Тогда 4.2

Ну, не знаю, можно ли назвать специалистом человека, который несколько раз в разные года

Тогда зачем пишешь такое?

Кстати, мантейнеры уже научились там собирать KDE чтобы оно не глючило и не тормозило так, как не глючит и не тормозит больше нигде?

Люди пользуются и не жалуются. Ну а баги в каждом дистрибутиве имеются.

Люди пользуются и не жалуются

Кому и овца невеста.

Скорей всего товарищ Лайнус сидит на «Федоре» или «РедХате Энтерпрайз». Он ведь акционер РедХата. Всё логично.

Новостей было много, противоречивых, и если я буду пересказывать все слухи - зинк или повесится, или объявит мне кровную месть.

Короче, весь спор под нож пошел ))) Черт с ней, с виндой, хотя я мало в 1% ее верю.

Debian stable хорош, и я его использую. На сервере арч не представляю. Но на десктопе пока мой выбор - арч. Есть проблемы и там и там, различного характера. Ты прав в том, что надо понимать, где что лучше применять.

По-моему, ты слишком негативно относишься к арчу, сейчас в нем достаточно гладко.

Как вы, <censored>, достали с вашим арчем, <censored>.

Я нормально отношусь к арчу. Я сказал, что на нём были одни проблемы, а на дебиане - другие. В ответ услышал 5 комментариев о том, что я дебил, и что у арча проблем не бывает.

Когда тема заходит про дебиан - я говорю и про недостатки дебиана. Эт нормально. Все грешны. Кроме OpenBSD, конечно, она идеальна, а Тео всегда прав :)))) [на всякий случай и текстом уточню, что это шутка]

Вообще, в данном случае, я считаю что мейнтейнеры дебиана не виноваты, а виноват разработчик этой софтины. Багтрекера нет, багрепорты на почту принимает, стабильную версию программы с фиксом багов не выпускает. Кто ж ему виноват? А политика дебиана такая имеет смысл.

Я например держу на работе именно стейбл, потому что не хочу иметь проблем с внезапными изменениями после обновления. И при этом обновления безопасности есть. Хотя это не сервер, можно например арч не обновлять и он тоже будет работать, на безопасность забить. А через год переустановить.

Вообще, в данном случае, я считаю что мейнтейнеры дебиана не виноваты, а виноват разработчик этой софтины. Багтрекера нет, багрепорты на почту принимает, стабильную версию программы с фиксом багов не выпускает. Кто ж ему виноват? А политика дебиана такая имеет смысл.

Они таймбомбу проглядели. Это хороший повод вводить практики более внимательного аудита, в том числе автоматизированного, на предмет невнятной активности (и зашифрованного кода). И обязать маинтайнеров чаще проверяться.

А если бы эта таймбомба не раздражающее окно выводила, а что-нибудь более опасное тырила?

ps. Мне звезду погасили. :) Теперь я больше не окябрёнок :) Слава капитализму, долой СССР :)

А вообще, раньше на десктопе я использовал sid+experimental. Попутно с арчем, обычно. Потом тестинг. А сейчас и на десктопе я использую только стейбл с бэкпортами. Я уже слишком стар для нестабильности, для разучивания новых фич. Поставил, работает и забыл. Пишу вот из Iceweasel 38, и страхом боюсь, что будет, когда оно обновится до Firefox 45. Раньше дебиан был более консервативным, и в stable Firefox если и обновлялся, то через бэкпорты. А теперь - обязательным порядком.

хех, и тут всплыло. на забугорных форумах в основном мусолят тему свободки, на лоре обсуждают, по доброй традиции, какое говно дебиан арч. на тему свободки разработчика в мейл-листе (https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=819703) макнули уже, кстати, но он не сдаётся:

I guess you want Debian to be the kind of operation that uses the work of others while blatantly and explicitly ignoring the wishes of the person who *did the actual creative work*

самое замечательное, что на тему дебиана, пожалуй, больше всего шумихи из-за рядовых происшествий класса «корона яйца прищемила».

Ранее разработчик даже добавил в XScreenSaver проверку обновлений

Скринсейвер ходит в интернет? Латентные вендузяторы совсем распоясались.