LINUX.ORG.RU

Re: Linux kernel patch from the Openwall Project

Расскажите кто понимает нужен ли такой патч где-то еще кроме раздачи фришеллов и других серверов с кучей потенциальных вредителей?
И насколько более\менее актуален этот патч для 2.4 чем для времен 2.2?

anonymous ()

Re: Linux kernel patch from the Openwall Project

какая разница кто сорвет у тебя стек, или еще что-то "проломит" из того что OWL затыкает? Скорее всего на free-shell вероятность выше, но и на любой другой машине лучше не оставлять лишних дырок. Наличие кучи потенциальных вредителей совсем не говорит о том, что кто-то из них будет реальным. Как и их отсувие не говорит о том, что не проломят. Т.е. одно другому не мешает, вещи совершенно оротогоанльные.

про актуальность не скажу, "если звезды зажигают, значит это кому-нибудь нужно?" ;)

bormotov ★★★☆ ()

Re: Linux kernel patch from the Openwall Project

Ну и зашибись ..

Solar Designer обещал эти патчи ещё к 2.4.9-10 , мол когда код стабилизируется , а выпустили вон аж когда .. Хороший знак .

Вот теперь и на злобном продакшн сервера на 2.4 переводить можно .. Ну как дотестят и релиз взрослый выпустят ..

anonymous ()

Re: Linux kernel patch from the Openwall Project

А у мну и на рабочей станции стоит тока пока на 2.2.20

Aleks_IZA ()

Re: Linux kernel patch from the Openwall Project

2Aleks IZA (*) (2002-04-26 06:43:01.14):

Ну и тормоз!

anonymous ()

Re: Linux kernel patch from the Openwall Project

у меня на сервере uptime с Owl linux kernel 2.2.20 patch : 10:46am up 133 days, 22:36, 5 users, load average: 0.16, 0.16, 0.10 вот как release выйдет для 2.4.X так на него может и перейду, пока не надо было...

mator ★★★★★ ()

Re: Linux kernel patch from the Openwall Project

Нормально. Наличие патча OWL, это верный знак, ядро 2.4 вырвнивается и переходит в разряд стабильных. это не может не радовать.так что эта новость актуальна даже если OWL вы накладывать не планируете.

Avel ()

Re: Linux kernel patch from the Openwall Project

Блин, уже даже не смешно. Сколько раз можно одно и то же обсасывать... :( Я про "обещания" выпустить патч к 2.4.9. Там было сказано, что поддержка 2.4 появится НЕ РАНЬШЕ 2.4.9. Не К ВЫХОДУ 2.4.9, а НЕ РАНЬШЕ. То есть, другими словами, ДО 2.4.9 патча ТОЧНО не будет, а после - смотря по обстоятельствам. Да и сейчас - комментарии к нему - "by popular demand", а не потому, что 2.4 реально стабилизировалось. Те, кто серъёзно пользуют Owl (хорошо зная, зачем им этот дистр), еще по крайней мере некоторое время вряд ли будут на 2.4 смотреть. Да и прочесать его хорошенько придётся на тему возможных дырок в новом коде...

mjt ()

Re: Linux kernel patch from the Openwall Project

Угу вот и прочешите ;)
Всегда хотел free shell service завести ;)

anonymous ()

Re: Linux kernel patch from the Openwall Project

фпизду. извиняюсь за выражение. когда мне надоело ждать этот патчик, а вкусности 2.4 уже выделили всю слюну, что была, я пошел на фрешмит и перерыл все патчики для ядер линуха. среди них нашел grsec, который успешно юзаю. функциональность, подобная опенволу, составляет мизерную часть этого набора патчей для ядер 2.4. там еще есть возможности логирования различных действий юзера и неплохая черутовая турма для юзеров в _шеле_ (пока еще не проверил, но давно хотел такое). ну и всякие примочки для повышения секурей. на один сервер уже поставил и радуюсь. почему оно не лежит на фтп всяких линухоидных сайтов (где тот же опенвал и прочии "секурные" патчи, уже протухшие и не поддерживаемые для новых ядер 2.4) и не обсасывается народом я не могу понять. пионэры наверное, распиздяи...

кому интересно идите на фрешмит и ищите grsec

SG

anonymous ()

Re: Linux kernel patch from the Openwall Project

Смешно. в одном из ядер 2.4 можно было прибить процесс другого пользователя. и это было не 2.4.0.0.0.pre.alfa а совсем недавно.
какие нафиг секурный патчи? дай бог просто на ровном месте не упасть...
так что OWL в любом виде уже показатель...

Avel ()

Re: Linux kernel patch from the Openwall Project

Я посмотрел grsecurity это злобная штука там много чего есть.

anonymous ()

Re: Linux kernel patch from the Openwall Project

Сейчас в Mandrake Cooker kernel-secure идёт именно с grsecurity насколько я знаю. Значит можно ожидать что 8.3 или 9.0 будет с ним.

anonymous ()

Re: Linux kernel patch from the Openwall Project

Вопрос к тем кто узал grsec: Я так и не понял из описания pax изать можно или нет ?

anonymous ()

Re: Linux kernel patch from the Openwall Project

pax нужно юзать! в хелпе есть ссылка где дают chpax - очень нужная тулза для работы в pax-моде. на одном сервере уже оттестил и подобрал нужные ключики, а то был какой-то суперзлой ключик в кернеле, после которого куча софта (в том числе make menuconfig, а точнее одна из вызываемых тулзей) отказывалось работать. сейчас буду тестить на серверах, где активно крутятся ява сервлеты...

SG.

anonymous ()

Re: Linux kernel patch from the Openwall Project

Пробую grsecurity, пока в "среднем" режиме, приятная вешь.

Settler ()

Re: Linux kernel patch from the Openwall Project

Если скрещивать grsec и XFS, то из grsec надо повыкусывать его ACL (полдня работы). А еще было б непрохо ACL из XFS внести в mainstream, во избежание разнотолков (может вместе с самим XFS).

WBR, atu.

anonymous ()

Re: Linux kernel patch from the Openwall Project

Ыыых была ни была поставлю щас на сервак grsec. Только PAX и нетворк. Из локальных юзеров там только админы ;) Бым надеяться все будет путем.

anonymous ()

Re: Linux kernel patch from the Openwall Project

ЫЫыыы облом мне mysql не пашет с PAX.

anonymous ()

Re: Linux kernel patch from the Openwall Project

блин, читать не умеиш? тулза chpax. каким бинарникам хреново с pax тому ставишь флажки не юзать его... хуже когда в ядре всякую херь накрутишь: в логах оно одно пишет, а выкусывать нужно другое :)

SG

anonymous ()

Re: Linux kernel patch from the Openwall Project

Я про chpax знаю. Десктопного софта у меня режется около 30%. На сервере на первый взгляд только mysqld. Я бы конечно мог его разрешить chpax'ом, но у меня сервер и так тормозит это раз, а два то что никогда не знаешь что еще у тебя не сработает на удаленом сервере. Сделали бы хоть лист несовместимого софта. И еще у меня нет локальных юзеров и патчи я ставлю все время, не знаю насколько актуально это для моего сервера тем более ценой потерии производительности.
А так конечно для кого-то у кого сервер выполняет другие задачи и там защите от переполнения актуально то PAX и вообще grsec конечно крутая разработка.

anonymous ()

Re: Linux kernel patch from the Openwall Project

дык ломают не только локальные юзеры (и в моей ситуации они вообще ломать не должны де факто). демона, без которого твой сервер не сервер проломят и плакаль админ :) а насчет того что сервер тормозит - пинать заказчика, чтобы новую железку делал. твое дело чтобы все работало и хакеры не мешали. издержки в несколько процентов процессора тут оправданы.

просто подстраховка, помимо наклейки заплаток и фаервола. мне больше нравится такая активная защита, чем ежедневное затыкание очередной дыры на десятках серверов. а сколько их еще не найдено?

SG.

anonymous ()

Re: Linux kernel patch from the Openwall Project

Это в идеальном мире так как ты описываешь. А в моей реальной ситуации pax не жрет больше процентиков, он затормаживает отклик, а для моего mysql'я это очень скверно. Начальник меня удавит если я заикнусь что наш новый брендовый сервер "слабый" и надо его менять. А вот если нас хакнут сделают rm -rf * я наоборот стану незаменимым в конторе человеком.

А так конечно PAX очень интересная разработка. Но к сожалению именно для моего сервера не актуальная. Будут другие сервера с другими задачами буду ставить.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.