В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

> Непревзойденный в плане подхода к обеспечению безопасности

Пруф?

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Сегодняшний комментарий автора с опеннета подойдёт?

4. «В проект Owl добавлена поддержка OpenVZ и осуществлен перехо...» +2 +/–
Сообщение от solardiz on 25-Ноя-09, 11:55

Разумеется, дополнительное ПО может привнести дополнительные уязвимости. От этого полностью не уйти и это надо учитывать (сисадмину).

На Owl, риск от таких уязвимостей снижается hardening'ом базовой системы. Например, для каждого пользователя создается отдельный $TMPDIR каталог (средствами pam_mktemp) и, если программа использует переменную $TMPDIR, то уязвимости, связанные с некорректной работой с временными файлами, оказываются нейтрализованы (такие программы и уязвимости нам встречались). Другой пример - glibc с нашими изменениями при запуске SUID/SGID программ сбрасывает ряд переменных окружения, которые были бы небезопасны для самого glibc при «повторном» запуске какой-либо программы из уже запущенной. Это может «спасти», например, от атак на sudo (принципиально не входящий в Owl) при некоторых опасных его настройках.

Что, пожалуй, более важно и более эффективно, базовая система Owl (здесь я говорю о нашем userland'е) в большей степени разграничивает Unix-пользователей (а также псевдо-пользователей) чем многие другие дистрибутивы. У нас меньше SUID/SGID программ (а каждая такая программа представляет риск «локальных» атак), они меньше объемом, мы были осторожны в их выборе, и мы подвергли их аудиту и правке (см. слайды презентации об Owl). В итоге, если дополнительные программы запускать только под отдельными пользователями (которым эти программы нужны) или псевдо-пользователями (для сервисов), то возможная «компрометация» будет ограничена этими пользователями (их уровнем доступа).

Разумеется, уязвимости, позволяющие все же получить доступ другого пользователя или root'а на Owl, все же наверняка существуют - в ядре. Оно монолитное и слишком большое и сложное, чтобы их там совсем не было, сколько ни исправляй. Но на Owl, в сравнении с другими дистрибутивами, гораздо лучше ситуация с подобными уязвимостями в userland (возможно, что их нет и вовсе, если говорить об «активных» атаках, при том что «за ядро» у меня уверенность, увы, противоположная), да и из тех, что наверняка есть в ядре, значительная доля (возможно, бОльшая часть) недоступны для атак с Owl userland (не такие «расслабленные» права на /dev/*, нет авто-загрузки модулей ядра и т.п.)

Кстати, общедоступная SUID программа в стандартной установке осталась только одна - это ping. Ведь это не вещь первой необходимости на большинстве серверов и контейнеров, правда? Так что ее можно ограничить, сказав «control ping restricted». После этого на ping станет mode 700 - доступ только root'у (и эта настройка, кстати, будет сохраняться при обновлениях системы). Другие программы, такие как passwd и crontab, используют SGID под выделенные им группы, и доступ этих групп, без какой-либо другой уязвимости, не расширяется до root-доступа, благодаря нашим правкам этих программ и библиотек. Полный отказ от SUID-программ нейтрализует некоторые классы потенциальных уязвимостей в ядре.

И, наконец, да - контейнеры. В какой мере и в каких случаях их использовать - выбор сисадмина. Конкретный пример «из жизни» - несколько экземпляров разных wiki (один и тот же набор доп. программ - Apache, PHP, DokuWiki) на разных доменах «идут» в один контейнер (т.к. все равно потенциальные уязвимости общие). В то время как другой веб-сайт, не требующий PHP, размещается на том же сервере в другом контейнере. Для почты может быть создан еще один контейнер без доп. программ (Postfix, popa3d, procmail, Mutt входят в базовую поставку Owl) или же с соответствующими этой задаче программами.

Где ещё среди дистрибутивов GNU/Linux есть подобный аудит базовой системы?

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Вот и хорошо. Этот момент нужно было раскрыть.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

О, таки проект шевелится.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

>осуществлен переход на Linux ядро 2.6.x

вот это я понимаю стейбл! ведь еще вчера у них было 2.4! так долго его не поддерживал никакой дистр, как мне кажется, а тут вообще только 2.4

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

О, наконец-то линаксе появились контейнеры. Интересно, а можно ли внутри контейнера запустить RHEL с ядром 2.4?

это не те контейнеры, это что-то вроде супер-чрута с управлением ресурсами и выделенным сетевым стеком

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Звучит соблазнительно, натравлюка на него wget

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Как-то не к лицу вам так толсто трописать.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Пользовался. Хорошая система. Однако, жизнь заставила совершить преход на Hardened Gentoo. _Почти_ всё то же, если собирать с умом и правильно создавать «политики» SELinux и использовать _ВСЕ_ доступные средства управления.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

А нахрена тогда употреблять термин «контейнер», он ведь уже имеет устоявшееся значение, как изолированной среды исполнения в смысле Solaris.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Ну допустим hardened gentoo. Конечно это не совсем то, в том смысле что по большей части вместо аудита и выкидывания кода или его перепиливания там - аудит и порождение политик для SELinux или rsbac. Но конечный результат впринципе схож.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

> «and was co-founder» (c)

Доставляющий «Runglish».

Зато чисто пиар.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Наверное потому что это не Solaris, и тут свои контейнеры? Также как фрибсдишные jail.
По сути любые контейнеры - это изоляция, а не виртуализация. Второе в linux развивается отдельно от openvz, впрочем саныч не мог не знать этого.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Ну в документации openvz тоже контейнеры. А туда видимо попало из «большого» VZ.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Ну, придумали бы свой термин, скажем L-container, от слова «линакс».

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

С jail все понятно, но когда человек пишет про запуск апача в «контейнере», надо еще разбираться, что конкретно имеется ввиду.

> Г-контейнер //fixed

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Кстати, в BSD, которую тут многие пытаются обосрать, как технологически-отсталую, уже можно запускать отдельные копии ядра со своим TCP/IP стеком каждая.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

А что не так с OpenVZ-контейнерами?

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

> осуществил переход на Linux ядро 2.6.x.

Патрик от зависти сгрыз ведро красных шапок (а я только 4 дня назад скачал slackware 11 и собирался ставить)

Россия - родина Анабиоза

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Нужно внутри контейнера пускать легаси софтину, как у всех приличных людей в нем же должна исполняться копия легасу ОС, со своим ядром, стеком и либами.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

> А нахрена тогда употреблять термин «контейнер», он ведь уже имеет

устоявшееся значение, как изолированной среды исполнения в смысле

Solaris.

Потому, что это OVZ-контейнер. И таки да, скорее всего, ты можешь там запустить RHEL, который был с ядром 2.4, только без этого ядра.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

> но когда человек пишет про запуск апача в «контейнере», надо еще разбираться, что конкретно имеется ввиду.

Это тебе надо. Знающий про OpenVZ поймёт сразу. ;-)

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

> в нем же должна исполняться копия легасу ОС, со своим ядром,

Кому должна ?

> Кстати, в BSD, которую тут многие пытаются обосрать, как технологически-отсталую, уже можно запускать отдельные копии ядра со своим TCP/IP стеком каждая.

они изобрели uml? оперативненько

> Нужно внутри контейнера пускать легаси софтину, как у всех приличных людей в нем же должна исполняться копия легасу ОС, со своим ядром, стеком и либами.

тебе память не жмёт? зачем тебе 175 ядер? возьми uml, ежели тебе плохо.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

rsbac (возможно и selinux тоже) при правильной настройке дает гарантию, что если поимеют супер-пользователя через какую-либо уязвимость то не получат контроль над всей системой. вот такая вот разница.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Ты новость читал?

«уязвимости, позволяющие все же получить доступ другого пользователя или root'а на Owl, все же наверняка существуют - в ядре. Оно монолитное и слишком большое и сложное, чтобы их там совсем не было, сколько ни исправляй.»

А так ты можешь получить root только к копиям ядра, и максимум положить кучку апачей с мускулем и с дырявыми скриптами.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

> С jail все понятно, но когда человек пишет про запуск апача в «контейнере», надо еще разбираться, что конкретно имеется ввиду.

Может быть, имелся в виду мусорный контейнер?

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Меня мучают смутные сомнения, что ядро, исполняющееся в юзер спейс окажется ацким тормозом. Ибо, в своей практике никогда не слышал и не читал о широком использовании uml в продакшн.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Зато Xen и KVM в продакшне работают только в путь.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

>А так ты можешь получить root только к копиям ядра, и максимум положить кучку апачей с мускулем и с дырявыми скриптами.

Когда надо запустить пару сотен изолированных окружений, банально может не хватить памяти. А для защиты от рутовых дырок есть SELinux.

Поэтому и полная виртуализация, и паравиртуализация, и контейнеры (в понимании Linux) имеют равные права на жизнь. Имхо.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Ну это только подтверждает мой тезис о том, что отличная идея просто не доведена в линаксе до рабочего состояния, вместо этого как всегда, понаделали ad-hoc костылей.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

и кто теперь вякнет, что в Debian старый софт??? =)

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

>Когда надо запустить пару сотен изолированных окружений, банально может не хватить памяти

Вранье, 32 битные системы сняты с эксплуатации, как минимум 5 лет назад, на 64 битных таких проблем не наблюдается.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

>Ну это только подтверждает мой тезис о том, что отличная идея просто не доведена в линаксе до рабочего состояния, вместо этого как всегда, понаделали ad-hoc костылей.

Почем не доведена? Вполне допилена.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

>Вранье, 32 битные системы сняты с эксплуатации, как минимум 5 лет назад, на 64 битных таких проблем не наблюдается.

Не вижу смысла спорить с теоретиком.

> Кстати, в BSD, которую тут многие пытаются обосрать, как технологически-отсталую, уже можно запускать отдельные копии ядра со своим TCP/IP стеком каждая.

Батенька, мне право неловко Вас разочаровывать, но как ни странно, проект http://www.vmware.com/ru/products/esxi/ VMWare ESXi это Linux. Поддерживает не только собственное ядро, стек и либы. А вполне пригоден к промышленной эксплуатации для, к примеру, целей тестирования ПО в практически всех существующих ОС для Intel или AMD процессоров.

Единственный момент, то что он сам по себе занимает 32MB дискового пространства, не отменяет того что для него нужен _хороший_ сервер. Если нужно _действительно_ обеспечить нормальную производительность.

Например, вот такой -> http://www.ritm-it.ru/serveri/hp/dl/proliantdl380g5/11615.htm Обратите там внимание на размер кеша второго уровня в 12 MB. Это _не_ шутка, в таком случае это _нужно_. Если мы о «продакшон», а не о домашней машинке Васи Пупкина.

Ужо кто-нибудь, выделите чтоли кол осиновый, да пол-литра святой водицы для Фряхи...

> Вранье, 32 битные системы сняты с эксплуатации, как минимум 5 лет назад, на 64 битных таких проблем не наблюдается.

Мдааа... Хороша трава уродилась... Или что Вы там изволите курить-то???

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

> Нужно внутри контейнера...
Так и запускай, только это не контейнер, это OVZ-контейнер.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

Не вижу никакого смысла использовать 32-битное железо именно на задачах связанных с виртуализацией.

> Поэтому и полная виртуализация, и паравиртуализация, и контейнеры (в понимании Linux) имеют равные права на жизнь. Имхо.

+10^6! Всё верно. «Безопасность» это понятие во-первых «комплексное» (нет одной «серебряной пули» для всех случаев жизни). Во-вторых, для разных случаев нужно просто пользоваться различными инструментами, коих в Linux достаточно. Единственный момент — _думать_ надо.

> Не вижу никакого смысла использовать 32-битное железо именно на задачах связанных с виртуализацией.

Не вижу никакого смысла использовать виртуализацию в случае, если можно отбиться средствами, которые более точно решают поставленную задачу.

В противном случае можно договориться до того, что лепить патчи вообще не нужно. Нужно полностью дырявый софт запихать под гипервизор и Господь бы с ним. Ломанут, так и хрен с ним?

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

И что? Речь не идет о продуктах от третьих фирм. Sun вообще имеет технологии позволяющие распилить один сундук на 128 логических доменов, с нулевым оверхедом.

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

>Не вижу никакого смысла использовать виртуализацию в случае, если можно отбиться средствами, которые более точно решают поставленную задачу.

А ты поставь NT4 или Solaris 8 на новый сервер?

> И что? Речь не идет о продуктах от третьих фирм.

А при чём здесь «третьи фирмы»? Если бы ядро не позволяло это сделать в принципе, то уверяю Вас — оно не было бы сделано. Принципиально, там (в ESXi) нет ничего такого за что можно и нужно было бы платить деньги. По этой причине оно и распространяется бесплатно. Если начинать покупать разработки именно VMWare, которые поддерживают централизованную инфраструктуру, обеспечивают единое управление кучей таких серваков, единый бекап-рестор, то да... Это будет продукт именно VMWare и за него _придётся_ не хило раскошелиться. Но поднять гипервизор и захреначить под него 10 машин (на большее рука не поднялась) — это делается даже по PXE. Только влёт. ;)

> А ты поставь NT4 или Solaris 8 на новый сервер?

А зачем? Какой в этом потаённый смысл? Оно сейчас где-то используется? Реально. Или просто чтобы было?

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

с зонами, часом, не путаем? =)

В проект Owl добавлена поддержка OpenVZ и осуществлен переход на Linux ядро 2.6.x

>По этой причине оно и распространяется бесплатно.

Распостраняется оно по другой причине - посадить заказчика на их технологии, я бы не стал такое ставить ни в жизнь, ибо чувствую, что для полноценной работы придется заплатить за все. Это как с оракл, вроде тоже что-то бесплатно, но работать с этим нельзя.