LINUX.ORG.RU

Расскажите кто понимает нужен ли такой патч где-то еще кроме раздачи фришеллов и других серверов с кучей потенциальных вредителей?
И насколько более\менее актуален этот патч для 2.4 чем для времен 2.2?

anonymous
()

какая разница кто сорвет у тебя стек, или еще что-то "проломит" из того что OWL затыкает? Скорее всего на free-shell вероятность выше, но и на любой другой машине лучше не оставлять лишних дырок. Наличие кучи потенциальных вредителей совсем не говорит о том, что кто-то из них будет реальным. Как и их отсувие не говорит о том, что не проломят. Т.е. одно другому не мешает, вещи совершенно оротогоанльные.

про актуальность не скажу, "если звезды зажигают, значит это кому-нибудь нужно?" ;)

bormotov ★★★☆
()

Ну и зашибись ..

Solar Designer обещал эти патчи ещё к 2.4.9-10 , мол когда код стабилизируется , а выпустили вон аж когда .. Хороший знак .

Вот теперь и на злобном продакшн сервера на 2.4 переводить можно .. Ну как дотестят и релиз взрослый выпустят ..

anonymous
()

А у мну и на рабочей станции стоит тока пока на 2.2.20

Aleks_IZA
()

2Aleks IZA (*) (2002-04-26 06:43:01.14):

Ну и тормоз!

anonymous
()

у меня на сервере uptime с Owl linux kernel 2.2.20 patch : 10:46am up 133 days, 22:36, 5 users, load average: 0.16, 0.16, 0.10 вот как release выйдет для 2.4.X так на него может и перейду, пока не надо было...

mator ★★★★★
()

Нормально. Наличие патча OWL, это верный знак, ядро 2.4 вырвнивается и переходит в разряд стабильных. это не может не радовать.так что эта новость актуальна даже если OWL вы накладывать не планируете.

Avel
()

Блин, уже даже не смешно. Сколько раз можно одно и то же обсасывать... :( Я про "обещания" выпустить патч к 2.4.9. Там было сказано, что поддержка 2.4 появится НЕ РАНЬШЕ 2.4.9. Не К ВЫХОДУ 2.4.9, а НЕ РАНЬШЕ. То есть, другими словами, ДО 2.4.9 патча ТОЧНО не будет, а после - смотря по обстоятельствам. Да и сейчас - комментарии к нему - "by popular demand", а не потому, что 2.4 реально стабилизировалось. Те, кто серъёзно пользуют Owl (хорошо зная, зачем им этот дистр), еще по крайней мере некоторое время вряд ли будут на 2.4 смотреть. Да и прочесать его хорошенько придётся на тему возможных дырок в новом коде...

mjt
()

Угу вот и прочешите ;)
Всегда хотел free shell service завести ;)

anonymous
()

фпизду. извиняюсь за выражение. когда мне надоело ждать этот патчик, а вкусности 2.4 уже выделили всю слюну, что была, я пошел на фрешмит и перерыл все патчики для ядер линуха. среди них нашел grsec, который успешно юзаю. функциональность, подобная опенволу, составляет мизерную часть этого набора патчей для ядер 2.4. там еще есть возможности логирования различных действий юзера и неплохая черутовая турма для юзеров в _шеле_ (пока еще не проверил, но давно хотел такое). ну и всякие примочки для повышения секурей. на один сервер уже поставил и радуюсь. почему оно не лежит на фтп всяких линухоидных сайтов (где тот же опенвал и прочии "секурные" патчи, уже протухшие и не поддерживаемые для новых ядер 2.4) и не обсасывается народом я не могу понять. пионэры наверное, распиздяи...

кому интересно идите на фрешмит и ищите grsec

SG

anonymous
()

Смешно. в одном из ядер 2.4 можно было прибить процесс другого пользователя. и это было не 2.4.0.0.0.pre.alfa а совсем недавно.
какие нафиг секурный патчи? дай бог просто на ровном месте не упасть...
так что OWL в любом виде уже показатель...

Avel
()

Я посмотрел grsecurity это злобная штука там много чего есть.

anonymous
()

Сейчас в Mandrake Cooker kernel-secure идёт именно с grsecurity насколько я знаю. Значит можно ожидать что 8.3 или 9.0 будет с ним.

anonymous
()

Вопрос к тем кто узал grsec: Я так и не понял из описания pax изать можно или нет ?

anonymous
()

pax нужно юзать! в хелпе есть ссылка где дают chpax - очень нужная тулза для работы в pax-моде. на одном сервере уже оттестил и подобрал нужные ключики, а то был какой-то суперзлой ключик в кернеле, после которого куча софта (в том числе make menuconfig, а точнее одна из вызываемых тулзей) отказывалось работать. сейчас буду тестить на серверах, где активно крутятся ява сервлеты...

SG.

anonymous
()

Пробую grsecurity, пока в "среднем" режиме, приятная вешь.

Settler
() автор топика

Если скрещивать grsec и XFS, то из grsec надо повыкусывать его ACL (полдня работы). А еще было б непрохо ACL из XFS внести в mainstream, во избежание разнотолков (может вместе с самим XFS).

WBR, atu.

anonymous
()

Ыыых была ни была поставлю щас на сервак grsec. Только PAX и нетворк. Из локальных юзеров там только админы ;) Бым надеяться все будет путем.

anonymous
()

ЫЫыыы облом мне mysql не пашет с PAX.

anonymous
()

блин, читать не умеиш? тулза chpax. каким бинарникам хреново с pax тому ставишь флажки не юзать его... хуже когда в ядре всякую херь накрутишь: в логах оно одно пишет, а выкусывать нужно другое :)

SG

anonymous
()

Я про chpax знаю. Десктопного софта у меня режется около 30%. На сервере на первый взгляд только mysqld. Я бы конечно мог его разрешить chpax'ом, но у меня сервер и так тормозит это раз, а два то что никогда не знаешь что еще у тебя не сработает на удаленом сервере. Сделали бы хоть лист несовместимого софта. И еще у меня нет локальных юзеров и патчи я ставлю все время, не знаю насколько актуально это для моего сервера тем более ценой потерии производительности.
А так конечно для кого-то у кого сервер выполняет другие задачи и там защите от переполнения актуально то PAX и вообще grsec конечно крутая разработка.

anonymous
()

дык ломают не только локальные юзеры (и в моей ситуации они вообще ломать не должны де факто). демона, без которого твой сервер не сервер проломят и плакаль админ :) а насчет того что сервер тормозит - пинать заказчика, чтобы новую железку делал. твое дело чтобы все работало и хакеры не мешали. издержки в несколько процентов процессора тут оправданы.

просто подстраховка, помимо наклейки заплаток и фаервола. мне больше нравится такая активная защита, чем ежедневное затыкание очередной дыры на десятках серверов. а сколько их еще не найдено?

SG.

anonymous
()

Это в идеальном мире так как ты описываешь. А в моей реальной ситуации pax не жрет больше процентиков, он затормаживает отклик, а для моего mysql'я это очень скверно. Начальник меня удавит если я заикнусь что наш новый брендовый сервер "слабый" и надо его менять. А вот если нас хакнут сделают rm -rf * я наоборот стану незаменимым в конторе человеком.

А так конечно PAX очень интересная разработка. Но к сожалению именно для моего сервера не актуальная. Будут другие сервера с другими задачами буду ставить.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.