Security: различия между версиями
м (ссылки: +1, -2) |
(переработал страницу сообразно реалиям 2017 года) |
||
Строка 1: | Строка 1: | ||
= ALT Linux Security = | |||
== Состояние == | |||
Безопасность, которая не состояние, а процесс -- зависит от того, что было сделано для обеспечения целостности установленной системы при подготовке базового дистрибутива, в рамках обновлений к нему, а также силами локального администратора. | Безопасность, которая не состояние, а процесс -- зависит от того, что было сделано для обеспечения целостности установленной системы при подготовке базового дистрибутива, в рамках обновлений к нему, а также силами локального администратора. | ||
По первой части базовая система ALT | По первой части базовая система ALT сопоставима с такими специализированными на безопасности дистрибутивами, как [http://openwall.com/Owl/ Owl GNU/*/Linux], включая множество оригинальных доработок (например, размещение большинства сервисов в <tt>chroot</tt>, зачастую с понижением и разделением привилегий; защищённая [http://git.altlinux.org/gears/g/glibc.git glibc] с дополнительно портированной дополнительной функциональностью из OpenBSD libc, что приводит к использованию более безопасных функций рассчитанными на это программами). | ||
По части же обновлений на данный момент можно говорить о том, что поддержка безопасности пакетной базы [[Sisyphus]], [[branches|стабильных веток]] и [[releases|выпусков]] осуществляется силами [[Компания «Базальт СПО»|ООО "Базальт СПО"]] и заинтересованных майнтейнеров [[ALT Linux Team]] при общей координации {{man|ldv}} и {{man|glebfm}}. | |||
Следует в явном виде сказать, что поддержка обновлениями предыдущей [[branches|стабильной ветки]] официально довольно быстро (в течение полугода) прекращается после выхода очередной стабильной ветки (фактически длительность базовой поддержки гораздо больше). | |||
Не следует также рассчитывать на поддержку произвольных пакетов. При необходимости гарантированной поддержки следует взвесить и выбрать варианты: | |||
* подписания договора о предоставлении техподдержки с кем-либо из поставщиков решений на базе Sisyphus; | * подписания договора о предоставлении техподдержки с кем-либо из [http://www.basealt.ru/partners/technology-partners/ поставщиков решений на базе Sisyphus]; | ||
* оговаривания с майнтейнерами критичных пакетов возможности оперативного гарантированного предоставления обновлений; | * оговаривания с майнтейнерами критичных пакетов возможности и условий оперативного гарантированного предоставления обновлений; | ||
* поддержания безопасности требуемой части пакетной базы своими силами (желательно при этом включиться в team и предоставлять исправления для публикации в | * поддержания безопасности требуемой части пакетной базы своими силами (желательно при этом [[join|включиться в team]] и предоставлять исправления для публикации в репозитории для пользы коллег); | ||
* | * выбора другого дистрибутива с применением к нему вышеизложенного (с очевидной коррекцией). | ||
== Рекомендации == | |||
* [http://lists.altlinux.org/pipermail/devel/2006-October/036994.html системным администраторам и разработчикам] | |||
* [http://lists.altlinux.org/pipermail/devel/2006-October/037029.html добавлению сообщения об ошибке] с чувствительной информацией по проблеме безопасности | |||
''NB: 2006 год'' | |||
== Майнтейнеру == | |||
Если нашлось время исправить проблемы безопасности (или серьёзные -- функциональности) в пакете, который был собран для выпущенных дистрибутивов, то было бы неплохо опубликовать исправление. Сделать это возможно несколькими путями: | Если нашлось время исправить проблемы безопасности (или серьёзные -- функциональности) в пакете, который был собран для выпущенных дистрибутивов, то было бы неплохо опубликовать исправление. Сделать это возможно несколькими путями: | ||
* [[git.alt|собрать]] в стабильную ветку репозитория; | |||
* разместить у себя (многие имеют свои хостинговые возможности); | * разместить у себя (многие имеют свои хостинговые возможности); | ||
* разместить на [ | * разместить на [http://ftp.altlinux.org/pub/people/ people]. | ||
Разница примерно такая: | Разница примерно такая: | ||
* у себя вы вольны публиковать, разумеется, что захотите и анонсировать, как заблагорассудится; | * у себя вы вольны публиковать, разумеется, что захотите и анонсировать, как заблагорассудится; | ||
* на people -- примерно то же, хоть и чуточку официальней; | * на people -- примерно то же, хоть и чуточку официальней; | ||
* срочные и проверенные в силу критичности обновления можно заливать прямо в репозиторий; если не уверены, лучше сперва обкатать в виде тестового сборочного задания ({{cmd|ssh git.alt build --test-only ...}} с анонсом/просьбой). | |||
* срочные и проверенные в силу критичности обновления можно заливать прямо в | |||
== Ссылки == | |||
* [http://cve.basealt.ru/ Анонсы исправлений уязвимостей] в сертифицированных дистрибутивах ([[СПТ]]) | * [http://cve.basealt.ru/ Анонсы исправлений уязвимостей] в сертифицированных дистрибутивах ([[СПТ]]) | ||
* [http://packages.altlinux.org/ru/Sisyphus/security Пакеты с исправлениями уязвимостей] (сводка доступна и по [http://packages.altlinux.org/ru/p8/security стабильным веткам]; надо понимать, что она основана на данных <tt>%changelog</tt> пакетов) | |||
<!--* [ftp://ftp.altlinux.org/pub/distributions/ALTLinux/updates/ ftp://ftp.altlinux.org/pub/distributions/ALTLinux/updates/] | <!--* [ftp://ftp.altlinux.org/pub/distributions/ALTLinux/updates/ ftp://ftp.altlinux.org/pub/distributions/ALTLinux/updates/] | ||
* [https://lists.altlinux.org/mailman/listinfo/security-team/ https://lists.altlinux.org/mailman/listinfo/security-team/]--> | * [https://lists.altlinux.org/mailman/listinfo/security-team/ https://lists.altlinux.org/mailman/listinfo/security-team/]--> | ||
* [http://lists.altlinux.org/pipermail/devel/2006-July/034848.html http://lists.altlinux.org/pipermail/devel/2006-July/034848.html] | * [http://lists.altlinux.org/pipermail/devel/2006-July/034848.html http://lists.altlinux.org/pipermail/devel/2006-July/034848.html] | ||
* [http://oss-security.openwall.org/wiki/distro-patches http://oss-security.openwall.org/wiki/distro-patches] | * [http://oss-security.openwall.org/wiki/distro-patches http://oss-security.openwall.org/wiki/distro-patches] | ||
[[Категория:Admin]] | |||
[[Категория:Devel]] |
Текущая версия от 20:45, 14 июля 2017
ALT Linux Security
Состояние
Безопасность, которая не состояние, а процесс -- зависит от того, что было сделано для обеспечения целостности установленной системы при подготовке базового дистрибутива, в рамках обновлений к нему, а также силами локального администратора.
По первой части базовая система ALT сопоставима с такими специализированными на безопасности дистрибутивами, как Owl GNU/*/Linux, включая множество оригинальных доработок (например, размещение большинства сервисов в chroot, зачастую с понижением и разделением привилегий; защищённая glibc с дополнительно портированной дополнительной функциональностью из OpenBSD libc, что приводит к использованию более безопасных функций рассчитанными на это программами).
По части же обновлений на данный момент можно говорить о том, что поддержка безопасности пакетной базы Sisyphus, стабильных веток и выпусков осуществляется силами ООО "Базальт СПО" и заинтересованных майнтейнеров ALT Linux Team при общей координации ldv@ и glebfm@.
Следует в явном виде сказать, что поддержка обновлениями предыдущей стабильной ветки официально довольно быстро (в течение полугода) прекращается после выхода очередной стабильной ветки (фактически длительность базовой поддержки гораздо больше).
Не следует также рассчитывать на поддержку произвольных пакетов. При необходимости гарантированной поддержки следует взвесить и выбрать варианты:
- подписания договора о предоставлении техподдержки с кем-либо из поставщиков решений на базе Sisyphus;
- оговаривания с майнтейнерами критичных пакетов возможности и условий оперативного гарантированного предоставления обновлений;
- поддержания безопасности требуемой части пакетной базы своими силами (желательно при этом включиться в team и предоставлять исправления для публикации в репозитории для пользы коллег);
- выбора другого дистрибутива с применением к нему вышеизложенного (с очевидной коррекцией).
Рекомендации
- системным администраторам и разработчикам
- добавлению сообщения об ошибке с чувствительной информацией по проблеме безопасности
NB: 2006 год
Майнтейнеру
Если нашлось время исправить проблемы безопасности (или серьёзные -- функциональности) в пакете, который был собран для выпущенных дистрибутивов, то было бы неплохо опубликовать исправление. Сделать это возможно несколькими путями:
- собрать в стабильную ветку репозитория;
- разместить у себя (многие имеют свои хостинговые возможности);
- разместить на people.
Разница примерно такая:
- у себя вы вольны публиковать, разумеется, что захотите и анонсировать, как заблагорассудится;
- на people -- примерно то же, хоть и чуточку официальней;
- срочные и проверенные в силу критичности обновления можно заливать прямо в репозиторий; если не уверены, лучше сперва обкатать в виде тестового сборочного задания (ssh git.alt build --test-only ... с анонсом/просьбой).
Ссылки
- Анонсы исправлений уязвимостей в сертифицированных дистрибутивах (СПТ)
- Пакеты с исправлениями уязвимостей (сводка доступна и по стабильным веткам; надо понимать, что она основана на данных %changelog пакетов)
- http://lists.altlinux.org/pipermail/devel/2006-July/034848.html
- http://oss-security.openwall.org/wiki/distro-patches