[Comm] Безопасность

[Comm] Безопасность

[Egorov Alexey]

В последние 2 дня опубликовали приличный список найденых уязвимостей как 
в ядре Linux, так и в некоторых программах
Как насчет исправлений для ALT Linux Master ?
Для версии 2.4 частично обновления есть, а для 2.2 вообще ничего нет
В первую очередь интересуют исправления для kernel, php, samba.
Ну а насчет рассылки security вообще молчу - туда вообще не постят об 
ошибках и исправлениях.

Re: [Comm] Безопасность

[Egorov Alexey]

Egorov Alexey пишет:

> В последние 2 дня опубликовали приличный список найденых уязвимостей 
> как в ядре Linux, так и в некоторых программах
> Как насчет исправлений для ALT Linux Master ?
> Для версии 2.4 частично обновления есть, а для 2.2 вообще ничего нет
> В первую очередь интересуют исправления для kernel, php, samba.
> Ну а насчет рассылки security вообще молчу - туда вообще не постят об 
> ошибках и исправлениях.
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community
>
Ну так что всем пофигу чтоли ?

Re: [Comm] Безопасность

[Mike Lykov]

В сообщении от Пятница 17 Декабрь 2004 11:47 Egorov Alexey написал:

> Ну так что всем пофигу чтоли ?

не пофигу, просто это обсуждается между маинтейнерами соотв. пакетов, а не 
тут.

"тут" они, видимо, не читают ;)

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] Безопасность

[Egorov Alexey]

Mike Lykov пишет:

>В сообщении от Пятница 17 Декабрь 2004 11:47 Egorov Alexey написал:
>
>  
>
>>Ну так что всем пофигу чтоли ?
>>    
>>
>
>не пофигу, просто это обсуждается между маинтейнерами соотв. пакетов, а не 
>тут.
>
>"тут" они, видимо, не читают ;)
>
>  
>
А народ успокоить - у меня все таки серваки рабочие есть на ALTLinux
Хотя бы написали что и как а то сидишь и гадаешь на кофейной гуще

Re: [Comm] Безопасность

[Aleksander N. Gorohovski]

On Fri, 17 Dec 2004 10:47:14 +0300, Egorov Alexey <egorov@strat.chtts.ru>  
wrote:

> Egorov Alexey пишет:
>
>> В последние 2 дня опубликовали приличный список найденых уязвимостей  
>> как в ядре Linux, так и в некоторых программах
>> Как насчет исправлений для ALT Linux Master ?
>> Для версии 2.4 частично обновления есть, а для 2.2 вообще ничего нет
>> В первую очередь интересуют исправления для kernel, php, samba.
>> Ну а насчет рассылки security вообще молчу - туда вообще не постят об  
>> ошибках и исправлениях.
>>
>>
> Ну так что всем пофигу чтоли ?

Думаю, что нет. Иначе зачем Master2.4

Re: [Comm] Безопасность

[Берыдган Антон]

Да ты голову не забивай !!
У меня тоже есть на Mandrake.
Главное резервные копии делать !
А кроме того большинство ошибок как правило специфичные, многии
прикрываются файрволом, а многие возникают только в определенных
ситуациях. Вот мелкософт вообще дырявый и ничего работает !!
Хотя должен признаться что выход обновлений у mandrake оперативный,
только качать бывает дофига :)


On Птн, 2004-12-17 at 10:57 +0300, Egorov Alexey wrote:
> Mike Lykov пишет:
> 
> >В сообщении от Пятница 17 Декабрь 2004 11:47 Egorov Alexey написал:
> >
> >  
> >
> >>Ну так что всем пофигу чтоли ?
> >>    
> >>
> >
> >не пофигу, просто это обсуждается между маинтейнерами соотв. пакетов, а не 
> >тут.
> >
> >"тут" они, видимо, не читают ;)
> >
> >  
> >
> А народ успокоить - у меня все таки серваки рабочие есть на ALTLinux
> Хотя бы написали что и как а то сидишь и гадаешь на кофейной гуще
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 377 bytes --]

On Fri, Dec 17, 2004 at 11:56:00AM +0400, Mike Lykov wrote:
> > Ну так что всем пофигу чтоли ?
> не пофигу, просто это обсуждается между маинтейнерами соотв.
> пакетов, а не тут.

Нет.

Обсуждается это на org@ и с security@.  Вот только что-то порой
безрезультатно.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Mike Lykov]

В сообщении от Пятница 17 Декабрь 2004 22:51 Michael Shigorin написал:
> > > Ну так что всем пофигу чтоли ?
> > не пофигу, просто это обсуждается между маинтейнерами соотв.
> > пакетов, а не тут.
> Нет.
> Обсуждается это на org@ и с security@.  Вот только что-то порой
> безрезультатно.

и еще в devel@, что и есть аналог моего высказывания.

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 830 bytes --]

Hi,

On Fri, Dec 17, 2004 at 09:15:51AM +0300, Egorov Alexey wrote:
> В последние 2 дня опубликовали приличный список найденых уязвимостей как 
> в ядре Linux, так и в некоторых программах

А сколько ещё не опубликовали, если бы вы знали...

> Как насчет исправлений для ALT Linux Master ?
> Для версии 2.4 частично обновления есть, а для 2.2 вообще ничего нет
> В первую очередь интересуют исправления для kernel, php, samba.

Я так понимаю, что для 2.4 обновления уже есть или скоро будут, поскольку
нашлись те, кто одновременно нуждается в исправленных пакетах и в
состоянии эти обновления подготовить.

Что касается 2.2, то тут ситуация неясная; последнее время желающих
готовить обновления для этой ветки резко поубавилось.  Возможно, что это
связано с распространением 2.4 и заменой им 2.2.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Безопасность

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 385 bytes --]

On Fri, Dec 17, 2004 at 06:22:40PM +1000, Берыдган Антон wrote:
> У меня тоже есть на Mandrake.
%
Использовать Mandrake в качестве сервера - это самая оригинальная идея из
всех, что мне довелось услышать в этом году.
                -- ldv in sisyphus@
%


-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Геморрой не стоит свеч.
		-- mike in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Безопасность

[Artem K. Jouravsky]

[-- Attachment #1: Type: text/plain, Size: 1009 bytes --]

On Sun, Dec 19, 2004 at 12:16:11AM +0300, Dmitry V. Levin wrote:
> > В последние 2 дня опубликовали приличный список найденых уязвимостей как 
> > в ядре Linux, так и в некоторых программах

> А сколько ещё не опубликовали, если бы вы знали...

> > Как насчет исправлений для ALT Linux Master ?
> > Для версии 2.4 частично обновления есть, а для 2.2 вообще ничего нет
> > В первую очередь интересуют исправления для kernel, php, samba.

> Я так понимаю, что для 2.4 обновления уже есть или скоро будут, поскольку
> нашлись те, кто одновременно нуждается в исправленных пакетах и в
> состоянии эти обновления подготовить.

> Что касается 2.2, то тут ситуация неясная; последнее время желающих
> готовить обновления для этой ветки резко поубавилось.  Возможно, что это
> связано с распространением 2.4 и заменой им 2.2.
Звучит так, будто обновления для дистрибутива выпускаются сугубо
добровольцами.

--
С уважением,
   Артём.
ЗАО "СЕМА.РУ"
************
Debug is human, de-fix divine.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Безопасность

[Oleg Shulga]

Artem K. Jouravsky пишет:

>On Sun, Dec 19, 2004 at 12:16:11AM +0300, Dmitry V. Levin wrote:
>  
>
>>Я так понимаю, что для 2.4 обновления уже есть или скоро будут, поскольку
>>нашлись те, кто одновременно нуждается в исправленных пакетах и в
>>состоянии эти обновления подготовить.
>>    
>>
>>Что касается 2.2, то тут ситуация неясная; последнее время желающих
>>готовить обновления для этой ветки резко поубавилось.  Возможно, что это
>>связано с распространением 2.4 и заменой им 2.2.
>>    
>>
>Звучит так, будто обновления для дистрибутива выпускаются сугубо
>добровольцами.
>
>  
>
Создается впечатление, что  GPL, Mozilla, BSDL, IPL продукты и иже с 
ними создаются и поддерживаются "сугубо добровольцами"

:)

-- 
WBR
Oleg Shulga, Kharkov Pribor, IT Manager

Re: [Comm] Безопасность

[Egorov Alexey]

Oleg Shulga пишет:

> Artem K. Jouravsky пишет:
>
>> Звучит так, будто обновления для дистрибутива выпускаются сугубо
>> добровольцами.
>>
>>  
>>
> Создается впечатление, что  GPL, Mozilla, BSDL, IPL продукты и иже с 
> ними создаются и поддерживаются "сугубо добровольцами"
>
> :)
>
Да но при этом я покупаю Мастер (обе версии 2.2 и 2.4 боксовые) и 
надеюсь на какую-то техническую поддержку
К тому же вроде заявлялось что сопровождение версий осуществляется 2 года.
Для версии 2.2 2 года вроде не вышл еще, не говоря уже о 2.4

Re: [Comm] Безопасность

[Egorov Alexey]

И еще такой вопрос -  почему в список рассылки Security-announce
практически не публикуется информация об обновлениях ?
За декабрь вообще ни чего не было, а за ноябрь есть инфа только по samba 
и xpm.
Если отказались от нее то надо объявить об этом, если нет то наверно 
надо расслыать письма.

Re: [Comm] Безопасность

[Oleg Shulga]

Egorov Alexey пишет:

> Oleg Shulga пишет:
>
>> Artem K. Jouravsky пишет:
>>
>>> Звучит так, будто обновления для дистрибутива выпускаются сугубо
>>> добровольцами.
>>>
>>>  
>>>
>> Создается впечатление, что  GPL, Mozilla, BSDL, IPL продукты и иже с 
>> ними создаются и поддерживаются "сугубо добровольцами"
>>
>> :)
>>
> Да но при этом я покупаю Мастер (обе версии 2.2 и 2.4 боксовые) и 
> надеюсь на какую-то техническую поддержку

В этом случае я надеюсь Вы получили:

  - купон технической поддержки установки в течение 60 дней

Все остальное я так понимаю на свой страх и риск.
Я  привык больше доверять открытым продуктам.
Поэтому это и мой выбор тоже, но  не обладаю бокс вермиями.
Хотя не могу придумать зачем мне они (боксы) нужны.

-- 
WBR
Oleg Shulga, Kharkov Pribor, IT Manager

Re: [Comm] Безопасность

[Egorov Alexey]

Oleg Shulga пишет:

> В этом случае я надеюсь Вы получили:
>
>  - купон технической поддержки установки в течение 60 дней
>
> Все остальное я так понимаю на свой страх и риск.
> Я  привык больше доверять открытым продуктам.
> Поэтому это и мой выбор тоже, но  не обладаю бокс вермиями.
> Хотя не могу придумать зачем мне они (боксы) нужны.
>
Установка и сопровождение немножко разные вещи.

Re: [Comm] Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1081 bytes --]

On Tue, Dec 21, 2004 at 09:42:40AM +0300, Artem K. Jouravsky wrote:
> On Sun, Dec 19, 2004 at 12:16:11AM +0300, Dmitry V. Levin wrote:
> > > В последние 2 дня опубликовали приличный список найденых уязвимостей как 
> > > в ядре Linux, так и в некоторых программах
> 
> > А сколько ещё не опубликовали, если бы вы знали...
> 
> > > Как насчет исправлений для ALT Linux Master ?
> > > Для версии 2.4 частично обновления есть, а для 2.2 вообще ничего нет
> > > В первую очередь интересуют исправления для kernel, php, samba.
> 
> > Я так понимаю, что для 2.4 обновления уже есть или скоро будут, поскольку
> > нашлись те, кто одновременно нуждается в исправленных пакетах и в
> > состоянии эти обновления подготовить.
> 
> > Что касается 2.2, то тут ситуация неясная; последнее время желающих
> > готовить обновления для этой ветки резко поубавилось.  Возможно, что это
> > связано с распространением 2.4 и заменой им 2.2.
>
> Звучит так, будто обновления для дистрибутива выпускаются сугубо
> добровольцами.

Не думаю, что вы открыли Америку. :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Безопасность

[Artem K. Jouravsky]

[-- Attachment #1: Type: text/plain, Size: 1294 bytes --]

On Wed, Dec 22, 2004 at 02:17:18AM +0300, Dmitry V. Levin wrote:
> > > > Как насчет исправлений для ALT Linux Master ?
> > > > Для версии 2.4 частично обновления есть, а для 2.2 вообще ничего нет
> > > > В первую очередь интересуют исправления для kernel, php, samba.

> > > Я так понимаю, что для 2.4 обновления уже есть или скоро будут, поскольку
> > > нашлись те, кто одновременно нуждается в исправленных пакетах и в
> > > состоянии эти обновления подготовить.

> > > Что касается 2.2, то тут ситуация неясная; последнее время желающих
> > > готовить обновления для этой ветки резко поубавилось.  Возможно, что это
> > > связано с распространением 2.4 и заменой им 2.2.

> > Звучит так, будто обновления для дистрибутива выпускаются сугубо
> > добровольцами.

> Не думаю, что вы открыли Америку. :)

Для себя -- открыл. Одно дело доверять ООО и продуманной политике апдейтов
и совсем другое -- группе добровольцев, которые выпускают фиксы
исключительно по своему желанию, без каких-либо обязательств и гарантий
своевременности.
Кроме того, ваша фраза очень неприятно накладывается на молчание списка
security-announce.

--
С уважением,
   Артём.
ЗАО "СЕМА.РУ"
************
Если вы не знаете, что такое SSH1, значит, вы им не пользуетесь.
		-- ldv in office@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 778 bytes --]

On Thu, Dec 23, 2004 at 06:17:22PM +0300, Artem K. Jouravsky wrote:
> Для себя -- открыл. Одно дело доверять ООО и продуманной
> политике апдейтов и совсем другое -- группе добровольцев,
> которые выпускают фиксы исключительно по своему желанию, без
> каких-либо обязательств и гарантий своевременности.

И совсем третье -- когда при этом те, кто и заинтересован и мог
бы, не подозревают о такой замечательной возможности и ждут у
моря погоды.

Между прочим, пресловутая багзилла по пакетам _выпусков_ --
точнее, её отсутствие -- хорошо характеризует состояние QA.
Давайте, может, всё-таки её сделаем хотя бы для координации
информации и усилий оных волонтеров?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 664 bytes --]

Hi,

On Thu, Dec 23, 2004 at 06:17:22PM +0300, Artem K. Jouravsky wrote:
> Для себя -- открыл. Одно дело доверять ООО и продуманной политике апдейтов

IMHO, у ООО ещё ни разу не было "продуманной политики апдейтов".

> и совсем другое -- группе добровольцев, которые выпускают фиксы
> исключительно по своему желанию, без каких-либо обязательств и гарантий
> своевременности.

Тем не менее многие доверяют, см. напр. Debian, Gentoo, etc.
Я, например, доверяю. :)

> Кроме того, ваша фраза очень неприятно накладывается на молчание списка
> security-announce.

Вы бы предпочли, чтобы я промолчал, или чтобы этот список заговорил? :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 479 bytes --]

On Thu, Dec 23, 2004 at 09:05:20PM +0300, Dmitry V. Levin wrote:
> > Кроме того, ваша фраза очень неприятно накладывается на
> > молчание списка security-announce.
> Вы бы предпочли, чтобы я промолчал, или чтобы этот список
> заговорил? :)

Дим, явно второе.  Можно в менее формальном виде, наверное, но
хоть шорох с той стороны трубки -- уже утешительней, чем тишина.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 617 bytes --]

On Thu, Dec 23, 2004 at 08:15:07PM +0200, Michael Shigorin wrote:
> On Thu, Dec 23, 2004 at 09:05:20PM +0300, Dmitry V. Levin wrote:
> > > Кроме того, ваша фраза очень неприятно накладывается на
> > > молчание списка security-announce.
> > Вы бы предпочли, чтобы я промолчал, или чтобы этот список
> > заговорил? :)
> 
> Дим, явно второе.  Можно в менее формальном виде, наверное, но
> хоть шорох с той стороны трубки -- уже утешительней, чем тишина.

Иногда тишина бывает гораздо красноречивее пространной речи.
Послушайте эту тишину, может быть, вы услышите что-нибудь полезное
для себя.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry Derjavin]

On Fri, Dec 24 2004 at 09:01, "Dmitry V. Levin" <ldv@altlinux.org> wrote:

>> > > Кроме того, ваша фраза очень неприятно накладывается на
>> > > молчание списка security-announce.
>> > Вы бы предпочли, чтобы я промолчал, или чтобы этот список
>> > заговорил? :)
>> 
>> Дим, явно второе.  Можно в менее формальном виде, наверное, но
>> хоть шорох с той стороны трубки -- уже утешительней, чем тишина.
>
> Иногда тишина бывает гораздо красноречивее пространной речи.

Это как раз тот случай. Она достаточно красноречива.

> Послушайте эту тишину, может быть, вы услышите что-нибудь полезное
> для себя.

Пока в ней слышен только настойчивый тихий голос, который советует
менять дистрибутив.

-- 
~dd

Re: [Comm] Re: Безопасность

[Maksim Otstavnov]

Hello Dmitry,

Friday, December 24, 2004, 2:01:03 AM, you wrote:

DVL> Иногда тишина бывает гораздо красноречивее пространной речи.
DVL> Послушайте эту тишину, может быть, вы услышите что-нибудь полезное
DVL> для себя.

Вообще говоря, 35 дней тишины заставляют нервничать: то ли что-то с
подпиской, то ли что-то с рассылкой.

Мне кажется, оптимальной для security@ была бы ежедневная отправка
подписанного сообщения типа "Nautron respoc lorni virch" при
отсутствии событий плюс минимальный сервис, гарантирующий
последовательность сообщений.

-- 
-- Maksim

Re: [Comm] Re: Безопасность

[Egorov Alexey]

Maksim Otstavnov пишет:

>Вообще говоря, 35 дней тишины заставляют нервничать: то ли что-то с
>подпиской, то ли что-то с рассылкой.
>
>Мне кажется, оптимальной для security@ была бы ежедневная отправка
>подписанного сообщения типа "Nautron respoc lorni virch" при
>отсутствии событий плюс минимальный сервис, гарантирующий
>последовательность сообщений.
>
С рассылкой все как раз нормально судя по этому:
http://lists.altlinux.ru/pipermail/security-announce/
Просто новости не постятся и это печально
И еще такой вопрос - насколько я понял на Master 2.2 update уже 
выпускатся не будут ?

Re: [Comm] Re: Безопасность

[Egorov Alexey]

Dmitry Derjavin пишет:

>Это как раз тот случай. Она достаточно красноречива.
>  
>
>Пока в ней слышен только настойчивый тихий голос, который советует
>менять дистрибутив.
>
>  
>
Ну если сранивать выпуск обновлений для Master 2.4 с выпуском обновлений 
для других дистрибутивов (я смотрел SuSe, ASP и Fedore) то не так все 
плохо оказывается.

Re: [Comm] Re:Безопасность

[SH]

ИМХО
мне немнога не понятна позиция альт тим, ну если не хотят/немогут выпускать секурити фиксы быстро как это делают redhat suse *BSD, то пусть открыто скажут что все мол апдейты только за деньги!!
А то подстава реальная получаетса, ставиш продакшн сервак, сыплютса баги идеш за апдейтами и получаеш кукиш... очень нехорошо, у меня это отбило всякое желание далее использовать этот дист.
>Dmitry Derjavin пишет:
>
>>Это как раз тот случай. Она достаточно красноречива.
>>  
>>
>>Пока в ней слышен только настойчивый тихий голос, который советует
>>менять дистрибутив.
>>
>>  
>>
>Ну если сранивать выпуск обновлений для Master 2.4 с выпуском обновлений 
>для других дистрибутивов (я смотрел SuSe, ASP и Fedore) то не так все 
>плохо оказывается.
>
>
>_______________________________________________
>Community mailing list
>Community@altlinux.ru
>https://lists.altlinux.ru/mailman/listinfo/community


-- 
---

Re: [Comm] Re:Безопасность

[SH]

>On Fri, Dec 24 2004 at 09:01, "Dmitry V. Levin" <ldv@altlinux.org> wrote:
>
>>> > > Кроме того, ваша фраза очень неприятно накладывается на
>>> > > молчание списка security-announce.
>>> > Вы бы предпочли, чтобы я промолчал, или чтобы этот список
>>> > заговорил? :)
>>> 
>>> Дим, явно второе.  Можно в менее формальном виде, наверное, но
>>> хоть шорох с той стороны трубки -- уже утешительней, чем тишина.
>>
>> Иногда тишина бывает гораздо красноречивее пространной речи.
>
>Это как раз тот случай. Она достаточно красноречива.
>
>> Послушайте эту тишину, может быть, вы услышите что-нибудь полезное
>> для себя.
>
>Пока в ней слышен только настойчивый тихий голос, который советует
>менять дистрибутив.
Он уже бродкастом разлетаетса по комунити альта.....




>-- 
>~dd
>_______________________________________________
>Community mailing list
>Community@altlinux.ru
>https://lists.altlinux.ru/mailman/listinfo/community


-- 
---

Re: [Comm] Re:Безопасность

[Denis Klykvin]

On Fri, 24 Dec 2004 10:36:40 +0300 (MSK)
SH wrote:

> ИМХО
> мне немнога не понятна позиция альт тим, ну если не хотят/немогут
> выпускать секурити фиксы быстро как это делают redhat suse *BSD, то
> пусть открыто скажут что все мол апдейты только за деньги!! А то
> подстава реальная получаетса, ставиш продакшн сервак, сыплютса баги
> идеш за апдейтами и получаеш кукиш... очень нехорошо, у меня это
> отбило всякое желание далее использовать этот дист.
А желание прочитать орфографический словарь у Вас не появилось?


-- 
With Best Wishes, Denis Klykvin
JID:	nikon@jabber.ru
XmmS now play:  Mark Van Dale - Live_at_Turbulentie-CABLE-02-2

Re: [Comm] Re:Безопасность

[Sergey S. Skulachenko]

On Fri, 24 Dec 2004 10:36:40 +0300 (MSK)
"SH" <SHRD@yandex.ru> wrote:

> мне немнога не понятна позиция альт тим, ну если не
> хотят/немогут выпускать секурити фиксы быстро как это делают
> redhat suse *BSD, то пусть открыто скажут что все мол апдейты
> только за деньги!! А то подстава реальная получаетса, ставиш
> продакшн сервак, сыплютса баги идеш за апдейтами и получаеш
> кукиш... очень нехорошо, у меня это отбило всякое желание далее
> использовать этот дист.

Так, ведь, с дуба только что свалился. Говоришь ещё плохо,
невнятно. Эволюция - долгий процесс...

-- 
С уважением,
С.С.Скулаченко

Re[2]: [Comm] Re:Безопасность

[Dmitry Vodennikov]

Добрый день.

Friday, December 24, 2004, 12:42:34 PM, Вы писали:

DK> On Fri, 24 Dec 2004 10:36:40 +0300 (MSK)
DK> SH wrote:

>> ИМХО
>> мне немнога не понятна позиция альт тим, ну если не хотят/немогут
>> выпускать секурити фиксы быстро как это делают redhat suse *BSD, то
>> пусть открыто скажут что все мол апдейты только за деньги!! А то
>> подстава реальная получаетса, ставиш продакшн сервак, сыплютса баги
>> идеш за апдейтами и получаеш кукиш... очень нехорошо, у меня это
>> отбило всякое желание далее использовать этот дист.
DK> А желание прочитать орфографический словарь у Вас не появилось?

"И вообще, что нам может сказать об искусстве человек лысый и с вот таким носом?"
(C) известно чей

-- 
Воденников Д.Ю.          http://www.dlv.rt.ru
 MCP+Internet

Re: [Comm] Re:Безопасность

[Denis Klykvin]

On Fri, 24 Dec 2004 13:19:56 +0500
Dmitry Vodennikov wrote:

> DK> А желание прочитать орфографический словарь у Вас не появилось?
> 
> "И вообще, что нам может сказать об искусстве человек лысый и с вот
> таким носом?"(C) известно чей
Это Вы к чему?


-- 
With Best Wishes, Denis Klykvin
JID:	nikon@jabber.ru
XmmS now play:  Mark Van Dale - Live_at_Turbulentie-CABLE-02-2

Re[2]: [Comm] Re: Безопасность

[Maksim Otstavnov]

Hello Egorov,

Friday, December 24, 2004, 9:18:38 AM, you wrote:

>>Мне кажется, оптимальной для security@ была бы ежедневная отправка
>>подписанного сообщения типа "Nautron respoc lorni virch" при
>>отсутствии событий плюс минимальный сервис, гарантирующий
>>последовательность сообщений.
>>
EA> С рассылкой все как раз нормально судя по этому:
EA> http://lists.altlinux.ru/pipermail/security-announce/

Видите ли, я не считаю удобным написать своему сисадмину в регламенте:
"Если долго нет писем из рассылки, погляди в пайпермейл, не поломалась
ли доставка".

С другой стороны, отсутствие контрольного сообщения или нарушение
последовательности сообщений может быть сигналом сисадмину (и это
можно прописывать в регламенте); эту сигнализацию можно еще и
автоматизировать/аудировать.

Для параноика имеет также значение конфликт интересов, когда рассылкой
и архивированием сообщений в этой рассылке занимается одно лицо.
Локальный архив подписанных сообщений гораздо лучше.

-- 
-- Maksim

Re: [Comm] Re: Безопасность

[Egorov Alexey]

Maksim Otstavnov пишет:

>Hello Egorov,
>
>Friday, December 24, 2004, 9:18:38 AM, you wrote:
>
>  
>
>>>Мне кажется, оптимальной для security@ была бы ежедневная отправка
>>>подписанного сообщения типа "Nautron respoc lorni virch" при
>>>отсутствии событий плюс минимальный сервис, гарантирующий
>>>последовательность сообщений.
>>>
>>>      
>>>
>EA> С рассылкой все как раз нормально судя по этому:
>EA> http://lists.altlinux.ru/pipermail/security-announce/
>
>Видите ли, я не считаю удобным написать своему сисадмину в регламенте:
>"Если долго нет писем из рассылки, погляди в пайпермейл, не поломалась
>ли доставка".
>
>С другой стороны, отсутствие контрольного сообщения или нарушение
>последовательности сообщений может быть сигналом сисадмину (и это
>можно прописывать в регламенте); эту сигнализацию можно еще и
>автоматизировать/аудировать.
>
>Для параноика имеет также значение конфликт интересов, когда рассылкой
>и архивированием сообщений в этой рассылке занимается одно лицо.
>Локальный архив подписанных сообщений гораздо лучше.
>  
>
Я имел ввиду что рассылка в рабочем состоянии и не более того
И если смотреть по этой ссылке то видно что за декабрь нет ни одного 
сообщения, что не может не удручать :(

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 465 bytes --]

On Fri, Dec 24, 2004 at 10:47:07AM +0300, Sergey S. Skulachenko wrote:
> Эволюция - долгий процесс...

Эволюция эволюцией, а вот когда прогресс сменяется регрессом или
строим крышу, не заботясь о фундаменте -- плохо.

2 ALT: объявите хоть здесь, что ищете бизнес-девелопера.
Технология ради технологии нужна разве что в МСВС всяких,
и то сомнения берут.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 525 bytes --]

On Fri, Dec 24, 2004 at 07:49:07AM +0300, Maksim Otstavnov wrote:
> Мне кажется, оптимальной для security@ была бы ежедневная
> отправка подписанного сообщения типа "Nautron respoc lorni
> virch" при отсутствии событий плюс минимальный сервис,
> гарантирующий последовательность сообщений.

"Если вы будете писать нам кроном, но мы будем читать вас
процмэйлом".

Не уверен, что спам как keepalive -- это разумно.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 413 bytes --]

On Fri, Dec 24, 2004 at 01:02:57PM +0300, Maksim Otstavnov wrote:
> Для параноика

Какой нафиг параноик, Максим, Вы притворяетесь или не понимаете,
где именно проблема?  Между тем у Вас как раз могут оказаться
адекватные знакомые для её решения.  У меня -- здесь, но не в
Москве и not willing to travel.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Maksim Otstavnov]

Hello Michael,

Friday, December 24, 2004, 3:19:20 PM, you wrote:

MS> On Fri, Dec 24, 2004 at 01:02:57PM +0300, Maksim Otstavnov wrote:
>> Для параноика

MS> Какой нафиг параноик, Максим, Вы притворяетесь или не понимаете,
MS> где именно проблема?

Не понимаю.

-- 
-- Maksim

Re: [Comm] Re: Безопасность

[Maksim Otstavnov]

Hello Michael,

Friday, December 24, 2004, 3:17:31 PM, you wrote:

MS> On Fri, Dec 24, 2004 at 07:49:07AM +0300, Maksim Otstavnov wrote:
>> Мне кажется, оптимальной для security@ была бы ежедневная
>> отправка подписанного сообщения типа "Nautron respoc lorni
>> virch" при отсутствии событий плюс минимальный сервис,
>> гарантирующий последовательность сообщений.

MS> "Если вы будете писать нам кроном, но мы будем читать вас
MS> процмэйлом".

Так вполне возможно, что именно procmail и должен это читать.

MS> Не уверен, что спам как keepalive -- это разумно.

Я не в курсе других решений. Robustness requires some redundancy
(если угодно, спама).

-- 
-- Maksim

Re: [Comm] Re: Безопасность

[Денис Смирнов]

On Fri, Dec 24, 2004 at 02:17:31PM +0200, Michael Shigorin wrote:

MS> "Если вы будете писать нам кроном, но мы будем читать вас
MS> процмэйлом".
MS> Не уверен, что спам как keepalive -- это разумно.

Текущая ситуация с безопасностью такова, что несколько постов в месяц
всяко могут (и должны) приходить. Не обязательно отправлять только посты с
информацией "скачать здесь", информация уровня "есть уязвимость такая-то"
уже сама по себе ценна. Хотя бы тем, что если это, например, local-root,
то можно закрыть пользователь доступ к шеллу "в связи с проведением работ
по обновлению ПО". И администратор сможет это решать сам.

IMHO : информационная рассылка дистрибутива _должна заменять_ bugtraq.

-- 
С уважением, Денис

http://freesource.info

Re: Re[2]: [Comm] Re:Безопасность

[Nizamov Shavkat]

> извените вы такой умный, вам череп не жмет ?

вообще-то этот пост был в вашу поддержку и обозначает примерно такую мысль
"чтобы судить о вкусе куриных яиц не обязательно быть курицей и нести
яйца"

или другими словами - "отвечайте по существу, а не по орфографии"

>>
>>DK> On Fri, 24 Dec 2004 10:36:40 +0300 (MSK)
>>DK> SH wrote:
>>
>>>> ИМХО
>>>> мне немнога не понятна позиция альт тим, ну если не хотят/немогут
>>>> выпускать секурити фиксы быстро как это делают redhat suse *BSD, то
>>>> пусть открыто скажут что все мол апдейты только за деньги!! А то
>>>> подстава реальная получаетса, ставиш продакшн сервак, сыплютса баги
>>>> идеш за апдейтами и получаеш кукиш... очень нехорошо, у меня это
>>>> отбило всякое желание далее использовать этот дист.
>>DK> А желание прочитать орфографический словарь у Вас не появилось?
>>
>>"И вообще, что нам может сказать об искусстве человек лысый и с вот таким
>> носом?"
>>(C) известно чей
>>
>>--
>>Воденников Д.Ю.          http://www.dlv.rt.ru
>> MCP+Internet

Re: Re[2]: [Comm] Re:Безопасность

[SH]

извените вы такой умный, вам череп не жмет ?
>Добрый день.
>
>Friday, December 24, 2004, 12:42:34 PM, Вы писали:
>
>DK> On Fri, 24 Dec 2004 10:36:40 +0300 (MSK)
>DK> SH wrote:
>
>>> ИМХО
>>> мне немнога не понятна позиция альт тим, ну если не хотят/немогут
>>> выпускать секурити фиксы быстро как это делают redhat suse *BSD, то
>>> пусть открыто скажут что все мол апдейты только за деньги!! А то
>>> подстава реальная получаетса, ставиш продакшн сервак, сыплютса баги
>>> идеш за апдейтами и получаеш кукиш... очень нехорошо, у меня это
>>> отбило всякое желание далее использовать этот дист.
>DK> А желание прочитать орфографический словарь у Вас не появилось?
>
>"И вообще, что нам может сказать об искусстве человек лысый и с вот таким носом?"
>(C) известно чей
>
>-- 
>Воденников Д.Ю.          http://www.dlv.rt.ru
> MCP+Internet
>
>_______________________________________________
>Community mailing list
>Community@altlinux.ru
>https://lists.altlinux.ru/mailman/listinfo/community


-- 
---

Re: Re[2]: [Comm]Re:Безопасность

[SH]

извените сразу не понял, приношу извенения, просто на самом деле, как-то нехорошо дела обстоят с апдейтами, люди и платить готовы а в ответ только тишина и язвительные замечания
>> извените вы такой умный, вам череп не жмет ?
>
>вообще-то этот пост был в вашу поддержку и обозначает примерно такую мысль
>"чтобы судить о вкусе куриных яиц не обязательно быть курицей и нести
>яйца"
>
>или другими словами - "отвечайте по существу, а не по орфографии"
>
>>>
>>>DK> On Fri, 24 Dec 2004 10:36:40 +0300 (MSK)
>>>DK> SH wrote:
>>>
>>>>> ИМХО
>>>>> мне немнога не понятна позиция альт тим, ну если не хотят/немогут
>>>>> выпускать секурити фиксы быстро как это делают redhat suse *BSD, то
>>>>> пусть открыто скажут что все мол апдейты только за деньги!! А то
>>>>> подстава реальная получаетса, ставиш продакшн сервак, сыплютса баги
>>>>> идеш за апдейтами и получаеш кукиш... очень нехорошо, у меня это
>>>>> отбило всякое желание далее использовать этот дист.
>>>DK> А желание прочитать орфографический словарь у Вас не появилось?
>>>
>>>"И вообще, что нам может сказать об искусстве человек лысый и с вот таким
>>> носом?"
>>>(C) известно чей
>>>
>>>--
>>>Воденников Д.Ю.          http://www.dlv.rt.ru
>>> MCP+Internet
>
>_______________________________________________
>Community mailing list
>Community@altlinux.ru
>https://lists.altlinux.ru/mailman/listinfo/community


-- 
---

Re: [Comm][JT] Безопасность

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 597 bytes --]

On Sun, Dec 26, 2004 at 08:33:23PM +0300, SH wrote:
> извените сразу не понял, приношу извенения, просто на самом деле, как-то нехорошо дела обстоят с апдейтами, люди и платить готовы а в ответ только тишина и язвительные замечания
Извините. Извинения.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

 * gvy подставил ab на написание NIS/ALT HOWTO... неудобна-та-как... 
<ab> gvy: ничего писать не буду. Вот так. Потому что делал не я -)
<gvy> ab, ну это уже с ldv выясняйте :)  и вааще -- мое дело сказать,
      что все плохо, и пусть меня убедят в обратном :)

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1012 bytes --]

On Sat, Dec 25, 2004 at 09:20:02PM +0300, Денис Смирнов wrote:
> On Fri, Dec 24, 2004 at 02:17:31PM +0200, Michael Shigorin wrote:
> MS> "Если вы будете писать нам кроном, но мы будем читать вас
> MS> процмэйлом".
> MS> Не уверен, что спам как keepalive -- это разумно.
> 
> Текущая ситуация с безопасностью такова, что несколько постов в месяц
> всяко могут (и должны) приходить. Не обязательно отправлять только посты с
> информацией "скачать здесь", информация уровня "есть уязвимость такая-то"
> уже сама по себе ценна. Хотя бы тем, что если это, например, local-root,
> то можно закрыть пользователь доступ к шеллу "в связи с проведением работ
> по обновлению ПО". И администратор сможет это решать сам.
> 
> IMHO : информационная рассылка дистрибутива _должна заменять_ bugtraq.

Не согласен.  Считаю перевод bugtraq'а бессмысленной тратой драгоценного времени.
А вот информация "скачать здесь", пожалуй, уже не нужна - все и так уже
знают, как им устанавливать обновления.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 515 bytes --]

On Thu, Dec 30, 2004 at 01:02:46AM +0300, Dmitry V. Levin wrote:
> > IMHO : информационная рассылка дистрибутива _должна заменять_
> > bugtraq.
> Не согласен.  Считаю перевод bugtraq'а бессмысленной тратой
> драгоценного времени.

Можешь попробовать делегировать Денису и прочим нарвавшимся
гражданам.  На самом деле я понимаю, о чём ты, но это тоже
достаточно нетрадиционно, чтобы шокировать население.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry Derjavin]

On Thu, Dec 30 2004 at 08:02, "Dmitry V. Levin" <ldv@altlinux.org> wrote:

>> IMHO : информационная рассылка дистрибутива _должна заменять_
>> bugtraq.
>
> Не согласен.  Считаю перевод bugtraq'а бессмысленной тратой
> драгоценного времени.

Дмитрий, вы, по-моему, опять забываете о гораздо более драгоценном,
чем ваше (при всём уважении), времени пользователей дистрибутива.

Мы ведь уже обсуждали этот вопрос больше года назад:
http://lists.altlinux.ru/pipermail/sisyphus/2003-September/027663.html
http://lists.altlinux.ru/pipermail/sisyphus/2003-September/027665.html

Спасибо Security Team -- сразу после этого появилось долгожданное
сообщение:
http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html

А теперь опять -- 25! Поймите же: разбираться каждый раз, подвержена
или нет последней уязвимости текущая ALT-овская сборка того же mysql
-- задача не системного администратора, а именно Security Team.

> А вот информация "скачать здесь", пожалуй, уже не нужна - все и так
> уже знают, как им устанавливать обновления.

Как -- знают. А знают ли -- когда? Прокомментируйте, пожалуйста:

"Руководство системного администратора ALT Linux Master 2.2",
Часть III. "Безопасность", Глава 4. "Основы безопасности", "Основные
правила" -- в первом же пункте:

"Подпишитесь на список рассылки security-announce@altlinux.ru [...],
чтобы быть вовремя проинформированным о новых версиях программ,
исправляющих ошибки в сфере безопасности."

Спасибо.

-- 
~dd

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Thu, Dec 30, 2004 at 01:02:46AM +0300, Dmitry V. Levin wrote:

>> IMHO : информационная рассылка дистрибутива _должна заменять_ bugtraq.
DVL> Не согласен.  Считаю перевод bugtraq'а бессмысленной тратой драгоценного времени.
DVL> А вот информация "скачать здесь", пожалуй, уже не нужна - все и так уже
DVL> знают, как им устанавливать обновления.

В багтраке не описано про действенность уязвимости в ALT, и о возможных
последствиях её эксплуатации.

И админ (особенно начинающий, или купивший продукт "всё в одном" вроде
SOHO server) захочет _сразу_ узнать уязвима ли его система. И, если
уязвима, срочно попытаться что-то предпринять для обеспечения своей
безопасности до выхода обновления (которые, увы, выходят не так чтобы
особо оператвно, особенно для 2.2, о прекращении поддержки коего не все
пользователи уже знают).

ALTовские сборки уж шибко сильно отличаются от апстрима чаще всего. И в
лучшую сторону (за то и любим).

Понимаешь, многим, очень многим, хочется заплатить денег и жить спокойно.
Подписав свой сотовый телефон на рассылку информации о безопасности иметь
оперативную информацию о том, что происходит.

Мне (и не только мне) очень хочется знать о том, что мои системы уязвимы
_как можно скорее_ после того, как эта инфромация станет доступа. И даже
до того, как появится обновление.

Хотя бы потому, что в случае появления сообщения "есть уязвимость в
сервисе A, проявляется при условиях B, патч нам делать сегодня лениво,
так что трахайтесь сами или ждите пока мы отдохнём" я хотя бы в офис
приеду, и таки сделаю сборку с патчем, и залью куда надо.

А сейчас мне надо при повлении письма из bugtraq тащиться в офис (если у
меня нет нормальной сети), там тестировать эту уязвимость на альтовских
сборках (и во многих случаях окажется что её и нет, или она не настолько
была опасна, чтобы срочно выезжать).

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Thu, Dec 30, 2004 at 12:18:36AM +0200, Michael Shigorin wrote:

>>> IMHO : информационная рассылка дистрибутива _должна заменять_
>>> bugtraq.
>> Не согласен.  Считаю перевод bugtraq'а бессмысленной тратой
>> драгоценного времени.
MS> Можешь попробовать делегировать Денису и прочим нарвавшимся
MS> гражданам.  На самом деле я понимаю, о чём ты, но это тоже
MS> достаточно нетрадиционно, чтобы шокировать население.

Я не понимаю. Пожалуйста, объясните мне.

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 578 bytes --]

Hi,

On Thu, Dec 30, 2004 at 02:18:04PM +1000, Dmitry Derjavin wrote:
> Как -- знают. А знают ли -- когда? Прокомментируйте, пожалуйста:
> 
> "Руководство системного администратора ALT Linux Master 2.2",
> Часть III. "Безопасность", Глава 4. "Основы безопасности", "Основные
> правила" -- в первом же пункте:
> 
> "Подпишитесь на список рассылки security-announce@altlinux.ru [...],
> чтобы быть вовремя проинформированным о новых версиях программ,
> исправляющих ошибки в сфере безопасности."

Кажется, вы путаете ALT Security Team и ООО ALT Linux.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1252 bytes --]

On Thu, Dec 30, 2004 at 02:09:14PM +0300, Denis Smirnov wrote:
> On Thu, Dec 30, 2004 at 01:02:46AM +0300, Dmitry V. Levin wrote:
> 
> >> IMHO : информационная рассылка дистрибутива _должна заменять_ bugtraq.
> DVL> Не согласен.  Считаю перевод bugtraq'а бессмысленной тратой драгоценного времени.
> DVL> А вот информация "скачать здесь", пожалуй, уже не нужна - все и так уже
> DVL> знают, как им устанавливать обновления.
> 
> В багтраке не описано про действенность уязвимости в ALT, и о возможных
> последствиях её эксплуатации.
> 
> И админ (особенно начинающий, или купивший продукт "всё в одном" вроде
> SOHO server) захочет _сразу_ узнать уязвима ли его система. И, если
> уязвима, срочно попытаться что-то предпринять для обеспечения своей
> безопасности до выхода обновления (которые, увы, выходят не так чтобы
> особо оператвно, особенно для 2.2, о прекращении поддержки коего не все
> пользователи уже знают).
> 
> ALTовские сборки уж шибко сильно отличаются от апстрима чаще всего. И в
> лучшую сторону (за то и любим).
> 
> Понимаешь, многим, очень многим, хочется заплатить денег и жить спокойно.

Не верю.  Большинству хочется жить спокойно, но не платить денег.
Отсюда и вытекает качество жизни.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Дворников Михаил]

Denis Smirnov пишет:
> И админ (особенно начинающий, или купивший продукт "всё в одном" вроде
> SOHO server) захочет _сразу_ узнать уязвима ли его система. И, если
> уязвима, срочно попытаться что-то предпринять для обеспечения своей
> безопасности до выхода обновления (которые, увы, выходят не так чтобы
> особо оператвно, особенно для 2.2, о прекращении поддержки коего не все
> пользователи уже знают).
Где объявление о прекращении поддержки 2.2.
Круто :))
1С еще не напечатала Мастер 2.4 для всех желающих...
-- 
С уважением, Дворников Михаил.

Re: [Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 775 bytes --]

On Thu, Dec 30, 2004 at 02:12:43PM +0300, Denis Smirnov wrote:
> >>> IMHO : информационная рассылка дистрибутива _должна заменять_
> >>> bugtraq.
> >> Не согласен.  Считаю перевод bugtraq'а бессмысленной тратой
> >> драгоценного времени.
> MS> Можешь попробовать делегировать Денису и прочим нарвавшимся
> MS> гражданам.  На самом деле я понимаю, о чём ты, но это тоже
> MS> достаточно нетрадиционно, чтобы шокировать население.
> Я не понимаю. Пожалуйста, объясните мне.

Раз там ресурсов не хватает (имеющиеся overqualified, а
достаточно, но не слишком таковых не хватает) -- предлагается
вынести такую деятельность в команду.

Ты нарываешься, я нарвался.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Thu, Dec 30, 2004 at 02:15:59PM +0300, Dmitry V. Levin wrote:

>> Понимаешь, многим, очень многим, хочется заплатить денег и жить спокойно.
DVL> Не верю.  Большинству хочется жить спокойно, но не платить денег.
DVL> Отсюда и вытекает качество жизни.

Может я, конечно, не прав, но тех кто хочет _не платить_ денег я склонен
игнорировать. И таки заметная часть покупателей Master, коий для xUSSR не
такой уж и дешёвый продукт, относится к людям готовым жить спокойно за
деньги :)

У коробки есть очень мало плюсов, по сравнению с "другом с резаком" и
"ближайшим лотком с дисками":
 - то, что деньги пойдут в адрес разработчиков (в ALT, как помнится
   говорилось, дистрибутивостроение убыточно -- значит не катит)
 - удобство (большинству на это пофиг);
 - хорошая документация (гхм... всё конечно супер по _содержимому_, если
   не считать откровенных ляпов);
 - поддержка;

За что ещё можно платить деньги, покупая коробку?

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Thu, Dec 30, 2004 at 01:38:44PM +0200, Michael Shigorin wrote:
> >>>> IMHO : информационная рассылка дистрибутива _должна заменять_
> >>>> bugtraq.
> >>> Не согласен.  Считаю перевод bugtraq'а бессмысленной тратой
> >>> драгоценного времени.
> MS>> Можешь попробовать делегировать Денису и прочим нарвавшимся
> MS>> гражданам.  На самом деле я понимаю, о чём ты, но это тоже
> MS>> достаточно нетрадиционно, чтобы шокировать население.
>> Я не понимаю. Пожалуйста, объясните мне.
MS> Раз там ресурсов не хватает (имеющиеся overqualified, а
MS> достаточно, но не слишком таковых не хватает) -- предлагается
MS> вынести такую деятельность в команду.
MS> Ты нарываешься, я нарвался.

Я просто по времени сейчас не вытяну подобное. По крайней мере оперативно
и в рамках деятельности team. И даже по контракту оперативность шустрее
чем 2 рабочих дня не потяну. Просто по времени :-(((((

2 рабочих дня для security это совсем-совсем несерьёзно. Да и завязываться
на небольшое количество людей -- тоже.

Как у нас сейчас организована деятельность security team?

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Безопасность

[Michael Shigorin]

On Thu, Dec 30, 2004 at 02:56:49PM +0300, Denis Smirnov wrote:
> MS> Ты нарываешься, я нарвался.
> Я просто по времени сейчас не вытяну подобное. По крайней мере
> оперативно и в рамках деятельности team. И даже по контракту
> оперативность шустрее чем 2 рабочих дня не потяну. Просто по
> времени :-(((((

Сейчас бы имеющийся бэклог разгрести.  Второй день (гм) сажусь --
и голова ватная уже к вечеру. :[

> 2 рабочих дня для security это совсем-совсем несерьёзно. Да и
> завязываться на небольшое количество людей -- тоже.

1) лучше, чем ничего (если вопрос между апдейтами и анонсами);
2) imho втроём-впятером с координатором это тянется с приемлемой
   надёжностью.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Thu, Dec 30, 2004 at 02:28:51PM +0200, Michael Shigorin wrote:

>> Я просто по времени сейчас не вытяну подобное. По крайней мере
>> оперативно и в рамках деятельности team. И даже по контракту
>> оперативность шустрее чем 2 рабочих дня не потяну. Просто по
>> времени :-(((((
MS> Сейчас бы имеющийся бэклог разгрести.  Второй день (гм) сажусь --
MS> и голова ватная уже к вечеру. :[

:(

>> 2 рабочих дня для security это совсем-совсем несерьёзно. Да и
>> завязываться на небольшое количество людей -- тоже.
MS> 1) лучше, чем ничего (если вопрос между апдейтами и анонсами);
MS> 2) imho втроём-впятером с координатором это тянется с приемлемой
MS>    надёжностью.

5 это вполне полноценна команда.

Дык как сейчас у нас security team организована?

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 500 bytes --]

On Thu, Dec 30, 2004 at 03:37:09PM +0300, Denis Smirnov wrote:
> >> 2 рабочих дня для security это совсем-совсем несерьёзно. Да и
> >> завязываться на небольшое количество людей -- тоже.
> MS> 1) лучше, чем ничего (если вопрос между апдейтами и анонсами);
> MS> 2) imho втроём-впятером с координатором это тянется с приемлемой
> MS>    надёжностью.
> 
> 5 это вполне полноценна команда.
> 
> Дык как сейчас у нас security team организована?

А что конкретно вас интересует?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Thu, Dec 30, 2004 at 04:08:09PM +0300, Dmitry V. Levin wrote:
> >>> 2 рабочих дня для security это совсем-совсем несерьёзно. Да и
> >>> завязываться на небольшое количество людей -- тоже.
> MS>> 1) лучше, чем ничего (если вопрос между апдейтами и анонсами);
> MS>> 2) imho втроём-впятером с координатором это тянется с приемлемой
> MS>>    надёжностью.
>> 5 это вполне полноценна команда.
>> Дык как сейчас у нас security team организована?
DVL> А что конкретно вас интересует?

Кто является членами этой team, и краткое описание workflow.

-- 
С уважением, Денис

http://freesource.info

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 817 bytes --]

On Thu, Dec 30, 2004 at 02:15:59PM +0300, Dmitry V. Levin wrote:
> > Понимаешь, многим, очень многим, хочется заплатить денег и жить спокойно.
> Не верю.  Большинству хочется жить спокойно, но не платить денег.
> Отсюда и вытекает качество жизни.

Так "многим" != "большинству".  Это раз.  Два -- сказать "апдейты
в гарантированный срок по гарантированному подмножеству стоят
денег" -- это гораздо нормальнее, чем молча (!) прекращать
поддержку или анонсы.

_Любое_ такое решение или соглашение с фактом _должно_
анонсироваться, чтобы не было -- всё тех же обманутых ожиданий.

Если телефон отключили за неуплату -- это одно, если её и не
требовали, но отключили -- это другое.  Хоть потребовали бы.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1192 bytes --]

On Thu, Dec 30, 2004 at 05:32:34PM +0200, Michael Shigorin wrote:
> On Thu, Dec 30, 2004 at 02:15:59PM +0300, Dmitry V. Levin wrote:
> > > Понимаешь, многим, очень многим, хочется заплатить денег и жить спокойно.
> > Не верю.  Большинству хочется жить спокойно, но не платить денег.
> > Отсюда и вытекает качество жизни.
> 
> Так "многим" != "большинству".  Это раз.

Поскольку мы не можем это соотношение измерить, то можно предположить, что
оно выполнено.

> Два -- сказать "апдейты в гарантированный срок по гарантированному
> подмножеству стоят денег" -- это гораздо нормальнее, чем молча (!)
> прекращать поддержку или анонсы.

Не вижу смысла твердить очевидное.

> _Любое_ такое решение или соглашение с фактом _должно_
> анонсироваться, чтобы не было -- всё тех же обманутых ожиданий.

Соглашение с фактом - это настолько естественный процесс, что анонсировать
его смысла нет.

> Если телефон отключили за неуплату -- это одно, если её и не
> требовали, но отключили -- это другое.  Хоть потребовали бы.

Мало ли что кому хочется.  Я тоже мог бы помечтать вслух.

P.S. Не вижу смысла продолжать это обсуждение здесь; ldv does not scale, too.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1171 bytes --]

On Thu, Dec 30, 2004 at 04:16:49PM +0300, Denis Smirnov wrote:
> On Thu, Dec 30, 2004 at 04:08:09PM +0300, Dmitry V. Levin wrote:
> > >>> 2 рабочих дня для security это совсем-совсем несерьёзно. Да и
> > >>> завязываться на небольшое количество людей -- тоже.
> > MS>> 1) лучше, чем ничего (если вопрос между апдейтами и анонсами);
> > MS>> 2) imho втроём-впятером с координатором это тянется с приемлемой
> > MS>>    надёжностью.
> >> 5 это вполне полноценна команда.
> >> Дык как сейчас у нас security team организована?
> DVL> А что конкретно вас интересует?
> 
> Кто является членами этой team, и краткое описание workflow.

ALT Security Team - это некая общность людей, занимающаяся
1. proactive security
2. security response

Суть работы в области "proactive security" заключается в том, чтобы
выявить и устранить потенциальные проблемы в ПО, которые могут вырасти
(и вырастают) в реальные уязвимости.

Суть работы в области "security response" заключается в оперативной
реакции по затыканию уязвимостей в ПО по мере обнаружения.

Состав ALT Security Team меняется со временем.

Больше я вам здесь вряд ли смогу рассказать.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Thu, Dec 30, 2004 at 07:23:37PM +0300, Dmitry V. Levin wrote:

>> Два -- сказать "апдейты в гарантированный срок по гарантированному
>> подмножеству стоят денег" -- это гораздо нормальнее, чем молча (!)
>> прекращать поддержку или анонсы.
DVL> Не вижу смысла твердить очевидное.

50$ за коробочку это деньги. И думать, что за эти деньги по крайней мере
пару лет обновления выпускаться будут вполне разумно.

То же касается security.

Особенно с учётом того что _раньше было по-другому_.

DVL> P.S. Не вижу смысла продолжать это обсуждение здесь; ldv does not scale, too.

:(

-- 
С уважением, Денис

http://freesource.info

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 950 bytes --]

On Thu, Dec 30, 2004 at 07:23:37PM +0300, Dmitry V. Levin wrote:
> > Два -- сказать "апдейты в гарантированный срок по
> > гарантированному подмножеству стоят денег" -- это гораздо
> > нормальнее, чем молча (!) прекращать поддержку или анонсы.
> Не вижу смысла твердить очевидное.
> P.S. Не вижу смысла продолжать это обсуждение здесь;
> ldv does not scale, too.

Дим, претензии не к тебе, а к принимающим решения по компании.
Своё предложение написать анонс я дал, но ответа о том, что он
может быть принят -- не видел.

> > _Любое_ такое решение или соглашение с фактом _должно_
> > анонсироваться, чтобы не было -- всё тех же обманутых
> > ожиданий.
> Соглашение с фактом - это настолько естественный процесс, что
> анонсировать его смысла нет.

Естественное подчас многим неочевидно.  Чем больше живу,
тем больше убеждаюсь.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1940 bytes --]

On Thu, Dec 30, 2004 at 09:14:58PM +0300, Denis Smirnov wrote:
> On Thu, Dec 30, 2004 at 07:23:37PM +0300, Dmitry V. Levin wrote:
> 
> >> Два -- сказать "апдейты в гарантированный срок по гарантированному
> >> подмножеству стоят денег" -- это гораздо нормальнее, чем молча (!)
> >> прекращать поддержку или анонсы.
> DVL> Не вижу смысла твердить очевидное.
> 
> 50$ за коробочку это деньги. И думать, что за эти деньги по крайней мере
> пару лет обновления выпускаться будут вполне разумно.

Поддерживаемый дистрибутив Debian стоит гораздо меньше этой суммы.
Поддерживаемый дистрибутив RedHat или SuSE стоит гораздо больше этой
суммы.

Естественно предположить, что дело не столько в стоимости коробки, сколько
в организации процесса.

В ALT Linux Team гораздо меньше база квалифицированных разработчиков,
чем у Debian, чтобы организовать community based support.

У ALT Linux гораздо меньше база корпоративных пользователей, чем у RedHat
или SuSE, чтобы организовать enterprise like support.

В результате получается нечто среднее: фактическая поддержка ALT Linux
в размере 10%-50% от общего объёма (смотря как считать) и поддержка всего
остального от ALT Linux Team (какая есть).

В принципе, ситуация может измениться в одну из вышеупомянутых сторон
в будущем.  Тем более что нынешняя ситуация, кажется, никого в полной мере
не устраивает.

> То же касается security.
> 
> Особенно с учётом того что _раньше было по-другому_.

По сути ничего не изменилось.  Просто объём поддерживаемой базы вырос в
несколько раз, преимущественно за счёт потенциально более уязвимого кода,
соответственно, объём выпускаемых обновлений тоже вырос.  Пришлось чем-то
пожертвовать.  Лучше уж сократить выпуск анонсов, чем выпуск обновлений,
хотя и он тоже неизбежно сокращается.

P.S. Давайте всё-таки обсуждение этой темы завершим.  Время на это уходит
много, а ничего нового понять уже не удастся.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry Derjavin]

On Thu, Dec 30 2004 at 21:13, "Dmitry V. Levin" <ldv@altlinux.org> wrote:


>> Как -- знают. А знают ли -- когда? Прокомментируйте, пожалуйста:
>> 
>> "Руководство системного администратора ALT Linux Master 2.2",
>> Часть III. "Безопасность", Глава 4. "Основы безопасности", "Основные
>> правила" -- в первом же пункте:
>> 
>> "Подпишитесь на список рассылки security-announce@altlinux.ru [...],
>> чтобы быть вовремя проинформированным о новых версиях программ,
>> исправляющих ошибки в сфере безопасности."
>
> Кажется, вы путаете ALT Security Team и ООО ALT Linux.

Запросто может быть. А почему вы думаете, что меня, как "конечного
пользователя" дистрибутива, должен заботить этот нюанс?

Спасибо, кстати, за комментарий. Только, если не сложно,
прокомментируйте, пожалуйста, ещё раз более развёрнуто.

Спасибо.

-- 
~dd

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1181 bytes --]

On Mon, Jan 03, 2005 at 01:42:30AM +1000, Dmitry Derjavin wrote:
> On Thu, Dec 30 2004 at 21:13, "Dmitry V. Levin" <ldv@altlinux.org> wrote:
> 
> >> Как -- знают. А знают ли -- когда? Прокомментируйте, пожалуйста:
> >> 
> >> "Руководство системного администратора ALT Linux Master 2.2",
> >> Часть III. "Безопасность", Глава 4. "Основы безопасности", "Основные
> >> правила" -- в первом же пункте:
> >> 
> >> "Подпишитесь на список рассылки security-announce@altlinux.ru [...],
> >> чтобы быть вовремя проинформированным о новых версиях программ,
> >> исправляющих ошибки в сфере безопасности."
> >
> > Кажется, вы путаете ALT Security Team и ООО ALT Linux.
> 
> Запросто может быть. А почему вы думаете, что меня, как "конечного
> пользователя" дистрибутива, должен заботить этот нюанс?

Потому что я вижу, что вы формулируете вопросы, которые "конечный
пользователь" не в состоянии сформулировать.

> Спасибо, кстати, за комментарий. Только, если не сложно,
> прокомментируйте, пожалуйста, ещё раз более развёрнуто.

ALT Security Team вообще говоря не отвечает за обещания, выданные от имени
ООО ALT Linux.  Тем более за надежды и намёки.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry Derjavin]

On Fri, Dec 31 2004 at 06:59, "Dmitry V. Levin" <ldv@altlinux.org> wrote:

> По сути ничего не изменилось.  Просто объём поддерживаемой базы
> вырос в несколько раз, преимущественно за счёт потенциально более
> уязвимого кода, соответственно, объём выпускаемых обновлений тоже
> вырос.

Ну и что? По-моему, это совершенно типичная ситуация, которая решается
на уровне менеджмента. А вовсе не на уровне аудита кода или подготовки
обновлений. Есть же специалисты, документация в конце концов..

> Пришлось чем-то пожертвовать.  Лучше уж сократить выпуск
> анонсов, чем выпуск обновлений, хотя и он тоже неизбежно
> сокращается.

Не лучше, а гораздо хуже -- уверяю вас. Особенно в связи с тем, что
сокращается выпуск обновлений. Думаю, что именно с точки зрения
безопасности гораздо правильнее в такой ситуации сосредоточиться на
подготовке анонсов. В этом случае те же админы сэкономят кучу времени,
если будут точно знать, уязвима конкретная сборка или нет. А
обновление можно будет подготовить средствами сообщества. Как,
например, и получилось недавно во время совершенно безобразного, на
мой взгляд, инцидента с php.

> P.S. Давайте всё-таки обсуждение этой темы завершим.

Давайте пока не будем. Во всяком случае, пока Security Team таким
странным образом расставляет приоритеты..

> Время на это уходит много, а ничего нового понять уже не удастся.

Главное -- не теряйте надежду. ;)

-- 
~dd

Re[2]: [Comm] Re: Безопасность

[Sergey]

Hello Dmitry,

Sunday, January 2, 2005, 6:34:37 PM, you wrote:

DD> On Fri, Dec 31 2004 at 06:59, "Dmitry V. Levin" <ldv@altlinux.org> wrote:

DD> обновление можно будет подготовить средствами сообщества. Как,
DD> например, и получилось недавно во время совершенно безобразного, на
DD> мой взгляд, инцидента с php.

Этот, безобразный инцидент еще не закончился. под Мастер 2.2 еще
обновления не вышло :(

>> P.S. Давайте всё-таки обсуждение этой темы завершим.

DD> Давайте пока не будем. Во всяком случае, пока Security Team таким
DD> странным образом расставляет приоритеты..

Я понимаю, что всех интересуют только новые технологии, но давайте
помнить, что ничто в бизнесе не ценится так, как постоянные клиенты.
Да я могу перейти щас на мастер 2.4, но кто даст гарантию, что через
пол года меня не будут заставлять переходить на мастер 2.6 ??? Должна
же быть хотябы 1-2 года поддержка после выхода нового дистрибутива,
для тех кто в силу определенных обстоятельст привязан к предыдущей
версии.
З.Ы.
Версию 2.2 я брал cd-r копию, но 2.4 - под впечатлением качества
продукта покупал на двд. Не хотиелось бы чтобы деньги пущеные на
развитие ООО, были потрачены в пустую.

-- 
Best regards,
 Sergey                            mailto:gray_post@mail.ru

Re[2]: [Comm] Re: Безопасность

[Maksim Otstavnov]

Hello Dmitry,

Sunday, January 02, 2005, 7:16:28 PM, you wrote:

DVL> ALT Security Team вообще говоря не отвечает за обещания, выданные
DVL> от имени ООО ALT Linux. Тем более за надежды и намёки.

Разумеется.

Однако ALT ST вообще не является лицом, и, соответственно, не
правоспособно ни к какой ответственности.

Ищем лицо, смотрим на
https://lists.altlinux.ru/mailman/listinfo/security-announce и видим
фразу: "администраторы списка рассылки Security-announce: ldv at
altlinux.com". Может быть, Вам стоит снять с себя лично эту
ответственность (если, разумеется, указанная фраза помещена на
указанную страницу с Вашего согласия)?

-- 
-- Maksim

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 877 bytes --]

On Sun, Jan 02, 2005 at 10:20:41PM +0300, Maksim Otstavnov wrote:
> Sunday, January 02, 2005, 7:16:28 PM, you wrote:
> 
> DVL> ALT Security Team вообще говоря не отвечает за обещания, выданные
> DVL> от имени ООО ALT Linux. Тем более за надежды и намёки.
> 
> Разумеется.
> 
> Однако ALT ST вообще не является лицом, и, соответственно, не
> правоспособно ни к какой ответственности.

Это верно.

> Ищем лицо, смотрим на
> https://lists.altlinux.ru/mailman/listinfo/security-announce и видим
> фразу: "администраторы списка рассылки Security-announce: ldv at
> altlinux.com". Может быть, Вам стоит снять с себя лично эту
> ответственность (если, разумеется, указанная фраза помещена на
> указанную страницу с Вашего согласия)?

Администратор списка рассылки Security-announce - это чистая формальность,
которую навязывает ПО списка рассылки.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1995 bytes --]

On Mon, Jan 03, 2005 at 02:34:37AM +1000, Dmitry Derjavin wrote:
> > По сути ничего не изменилось.  Просто объём поддерживаемой базы
> > вырос в несколько раз, преимущественно за счёт потенциально более
> > уязвимого кода, соответственно, объём выпускаемых обновлений тоже
> > вырос.
> 
> Ну и что? По-моему, это совершенно типичная ситуация, которая решается
> на уровне менеджмента.

Или не решается. :)

> А вовсе не на уровне аудита кода или подготовки обновлений.

И на этом уровне тоже.

> Есть же специалисты, документация в конце концов..

Не понял..

> > Пришлось чем-то пожертвовать.  Лучше уж сократить выпуск
> > анонсов, чем выпуск обновлений, хотя и он тоже неизбежно
> > сокращается.
> 
> Не лучше, а гораздо хуже -- уверяю вас. Особенно в связи с тем, что
> сокращается выпуск обновлений. Думаю, что именно с точки зрения
> безопасности гораздо правильнее в такой ситуации сосредоточиться на
> подготовке анонсов. В этом случае те же админы сэкономят кучу времени,
> если будут точно знать, уязвима конкретная сборка или нет.

Я не умею сочинять анонсы к незафиксенным уязвимостям.  И не хочу уметь.

> А обновление можно будет подготовить средствами сообщества. Как,
> например, и получилось недавно во время совершенно безобразного, на
> мой взгляд, инцидента с php.

По-моему, с php давно всё плохо.  Могу назвать ещё несколько таких
пакетов, которые со временем уходят (или не уходят, хоть и должны)
в contrib из-за неподдерживаемости.  Вы, думаю, тоже.

Что касается подготовки обновлений средствами сообщества, то я готов это
направление поддерживать, как наиболее естественное в сложившейся
ситуации.

> > P.S. Давайте всё-таки обсуждение этой темы завершим.
> 
> Давайте пока не будем. Во всяком случае, пока Security Team таким
> странным образом расставляет приоритеты..

Я убеждён, что исправление важнее анонса.  Сисадмин в состоянии
проанализировать степень угрозы скорее, чем подготовить исправление.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Sergey S. Skulachenko]

On Sun, 2 Jan 2005 23:47:47 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

> > > P.S. Давайте всё-таки обсуждение этой темы завершим.
> > 
> > Давайте пока не будем. Во всяком случае, пока Security Team
> > таким странным образом расставляет приоритеты..

Одна петля лицевая, две - изнаночные...

> Я убеждён, что исправление важнее анонса.  Сисадмин в состоянии
> проанализировать степень угрозы скорее, чем подготовить
> исправление.

На практике именно так и бывает, потому что:
1. Реакция на угрозу всегда очень быстрая, обновления появляются
мгновенно.
2. Анонсы запаздывают. До их прочтения расторопный админ уже
успевает установить обновлённые пакеты.
3. Раз это так, то в чём же тогда суть обсуждения? В настырной
саморекламе отдельных участников? Но с этим хорошо бы перейти в
курилку.

-- 
С уважением,
С.С.Скулаченко

Re: [Comm] Re: Безопасность

[Nizamov Shavkat]

> На практике именно так и бывает, потому что:
> 1. Реакция на угрозу всегда очень быстрая, обновления появляются
> мгновенно.

скажите где вы берете эти мгновенно появляющиеся обновления для АЛМ2.2/2.4
и все вопросы сразу отпадут.

Re[2]: [Comm] Re: Безопасность

[Maksim Otstavnov]

Hello Dmitry,

Sunday, January 02, 2005, 11:47:47 PM, you wrote:

DVL> Я не умею сочинять анонсы к незафиксенным уязвимостям.  И не хочу уметь.

Очень жалко.

DVL> Я убеждён, что исправление важнее анонса.  Сисадмин в состоянии
DVL> проанализировать степень угрозы скорее, чем подготовить исправление.

Видите ли, чтобы проанализировать степень угрозы, нужно знать о ее
наличии.

При этом приоритеты могут быть расставлены так, что в некоторых
случаях закрыть "дыру" нужно даже ценой деградации функциональности.

В то же время, доверие к ST может быть достаточно высоко, чтобы
ставить рекомендуемые ею секьюрити-апдейты, не вникая особенно в то,
что именно там уже пофиксено (ну или разбираясь постфактум, как оно
часто и бывает).

В этом смысле, информация о "незафиксенных" уязвимостях может быть как
бы и важнее, чем о "зафиксенных".

-- 
-- Maksim

Re: [Comm] Re: Безопасность

[Sergey S. Skulachenko]

On Mon, 3 Jan 2005 13:38:03 +0500 (UZT)
"Nizamov Shavkat" <shawkat@samdu.uz> wrote:

> скажите где вы берете эти мгновенно появляющиеся обновления для
> АЛМ2.2/2.4 и все вопросы сразу отпадут.

А у меня и нет никаких надуманных вопросов. Чистота линии меня
совершенно не интересует. За несколько часов перед Новым Годом
собрал очередную дешевенькую машинку на плате P4X533-A от
Elitegroup (~40$), Celeron 1.8, памяти 512 Мб. Воспользовался
первым диском Мастера 2.4. Всё опозналось безукоризненно, никаких
замечаний. Тут же обновился с локального репозитария до Сизифа от
01.01.05 и поставил ядро 2.6.10-std26-up-alt1. Флешки с
фотографиями читаются. За день довёл машину до сборочной, что
видно из заголовка письма. И ничем не мучаюсь. Вполне приличная
машинка получилась. По производительности раз в пять обгоняет мой
шлюз на любимой Mini-ITX Epia V.

-- 
С уважением,
С.С.Скулаченко

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1466 bytes --]

On Mon, Jan 03, 2005 at 12:10:37PM +0300, Maksim Otstavnov wrote:
> Hello Dmitry,
> Sunday, January 02, 2005, 11:47:47 PM, you wrote:
> 
> DVL> Я не умею сочинять анонсы к незафиксенным уязвимостям.  И не хочу уметь.
> 
> Очень жалко.

У меня есть основания настаивать на этом. :)

> DVL> Я убеждён, что исправление важнее анонса.  Сисадмин в состоянии
> DVL> проанализировать степень угрозы скорее, чем подготовить исправление.
> 
> Видите ли, чтобы проанализировать степень угрозы, нужно знать о ее
> наличии.

Сисадмин должен быть информированным, причём информация должна поступать
более чем из одного источника.

> При этом приоритеты могут быть расставлены так, что в некоторых
> случаях закрыть "дыру" нужно даже ценой деградации функциональности.

Да, конечно, бывает и так.

> В то же время, доверие к ST может быть достаточно высоко, чтобы
> ставить рекомендуемые ею секьюрити-апдейты, не вникая особенно в то,
> что именно там уже пофиксено (ну или разбираясь постфактум, как оно
> часто и бывает).

Я бы предпочёл, чтобы специалисты думали прежде чем обновлять, а все
остальные ставили всё, что есть в updates, даже без анонса.

> В этом смысле, информация о "незафиксенных" уязвимостях может быть как
> бы и важнее, чем о "зафиксенных".

Повторю ещё раз, я считаю, что специалист должен иметь различные источники
достоверной информации, а всем остальным не имеет смысла вдаваться в такие
подробности.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Nizamov Shavkat]

>> скажите где вы берете эти мгновенно появляющиеся обновления для
>> АЛМ2.2/2.4 и все вопросы сразу отпадут.
>
> А у меня и нет никаких надуманных вопросов. Чистота линии меня
> совершенно не интересует.

да ради бога.
просто есть люди, более щепетильные в вопросах стабильности/безопасности.

Re: [Comm] Re: Безопасность

[Dmitry Derjavin]

On Mon, Jan 03 2005 at 06:47, "Dmitry V. Levin" <ldv@altlinux.org> wrote:

>> > По сути ничего не изменилось.  Просто объём поддерживаемой базы
>> > вырос в несколько раз, преимущественно за счёт потенциально более
>> > уязвимого кода, соответственно, объём выпускаемых обновлений тоже
>> > вырос.
>> 
>> Ну и что? По-моему, это совершенно типичная ситуация, которая решается
>> на уровне менеджмента.
>
> Или не решается. :)

Это тоже типичная ситуация. :)

>> А вовсе не на уровне аудита кода или подготовки обновлений.
>
> И на этом уровне тоже.

Нет, не на этом. Тут что-то из серии мух и котлет: сначала, видимо,
имеет смысл сформулировать проблему, максимально абстрагировавшись от
деталей производственного процесса. "Есть некое производство, объём
которого постоянно растёт, в связи с чем имеющихся ресурсов становится
недостаточно для поддержания качества на прежнем уровне" -- как-то
так. И решать эту проблему, по-моему, нужно как раз в подобной
формулировке, и уже менеджерам производственного процесса, а не
программистам, которые, я подозреваю, пытаются её сейчас решить.

>> > Пришлось чем-то пожертвовать.  Лучше уж сократить выпуск
>> > анонсов, чем выпуск обновлений, хотя и он тоже неизбежно
>> > сокращается.
>> 
>> Не лучше, а гораздо хуже -- уверяю вас. Особенно в связи с тем, что
>> сокращается выпуск обновлений. Думаю, что именно с точки зрения
>> безопасности гораздо правильнее в такой ситуации сосредоточиться на
>> подготовке анонсов. В этом случае те же админы сэкономят кучу
>> времени, если будут точно знать, уязвима конкретная сборка или нет.
>
> Я не умею сочинять анонсы к незафиксенным уязвимостям.  И не хочу
> уметь.

Имелось в виду примерно следующее:

http://lists.altlinux.ru/pipermail/security-announce/2001-March/000001.html
http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html

На этой кожуре от банана отпечатки ваших зубов, Дмитрий. ;)

>> А обновление можно будет подготовить средствами сообщества. Как,
>> например, и получилось недавно во время совершенно безобразного, на
>> мой взгляд, инцидента с php.
>
> По-моему, с php давно всё плохо.  Могу назвать ещё несколько таких
> пакетов, которые со временем уходят (или не уходят, хоть и должны) в
> contrib из-за неподдерживаемости.  Вы, думаю, тоже.

Что "тоже" -- в contrib? :)

А если серьёзно -- по-моему, php это один из важнейших элементов
современного web-сервера. И если дистрибутив позиционируется как
серверный, то в contrib такому пакету никак нельзя. И не важно при
этом, "хорошо" с ним или "плохо". Нужно сделать, чтобы стало хорошо.

> Что касается подготовки обновлений средствами сообщества, то я готов
> это направление поддерживать, как наиболее естественное в
> сложившейся ситуации.

Замечательная новость. Предлагаю начать с официального объявления, в
котором бы однозначно оговаривалась сфера ответственности Security
Team.

>> Давайте пока не будем. Во всяком случае, пока Security Team таким
>> странным образом расставляет приоритеты..
>
> Я убеждён, что исправление важнее анонса.  Сисадмин в состоянии
> проанализировать степень угрозы скорее, чем подготовить исправление.

А ещё он должен быть в состоянии оценить заранее затраты своего
времени и их примерную стоимость.

Представьте себе такую ситуацию: в Bugtraq появляется информация об
уязвимости, при этом Security Team молча готовит обновление. По
"независящим причинам" подготовка затягивается. Но в силу некоторых
особенностей altlinux риск использования именно этой уязвимости на
дистрибутивах altlinux минимален. Админ оценивает (справедливо), что
на то, чтобы убедиться, что риск действительно минимален, ему
потребуется гораздо большее время, чем потенциальному злоумышленнику
на взлом. И готовит обновление самостоятельно. Через некоторое время
выходит официальное обновление, уже никому не нужное. В результате
потрачено время на подготовку двух бесполезных обновлений. При этом,
чтобы избежать потерь времени, достаточно было бы вовремя опубликовать
маленький анонс.

Таким образом, отсутствие анонсов приводит к гораздо большим затратам
времени, чем отсутствие обновлений.

Достаточно ли это убедительный пример?

-- 
~dd

Re[2]: [Comm] Re: Безопасность

[Maksim Otstavnov]

Hello Dmitry,

Monday, January 03, 2005, 3:06:00 PM, you wrote:

DVL> Сисадмин должен быть информированным, причём информация должна
DVL> поступать более чем из одного источника.

У него также должна быть новая "БМВ" и две красивые любовницы. Или
три. Я же не против таких новогодних пожеланий.

С другой стороны, вот я ставлю себя на место админа со многими
источниками информации, который видит вслед за информацией, допустим
(если брать открытые источники) в Багтраке, информацию в списке
рассылки дистрибутива ABC об апдейте или о неподверженности, и ---
тишину в списке рассылки дистрибутива XYZ...


-- 
-- Maksim

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 825 bytes --]

On Mon, Jan 03, 2005 at 08:51:51PM +0300, Maksim Otstavnov wrote:
> Monday, January 03, 2005, 3:06:00 PM, you wrote:
> 
> DVL> Сисадмин должен быть информированным, причём информация должна
> DVL> поступать более чем из одного источника.
> 
> У него также должна быть новая "БМВ" и две красивые любовницы. Или
> три. Я же не против таких новогодних пожеланий.
> 
> С другой стороны, вот я ставлю себя на место админа со многими
> источниками информации, который видит вслед за информацией, допустим
> (если брать открытые источники) в Багтраке, информацию в списке
> рассылки дистрибутива ABC об апдейте или о неподверженности, и ---
> тишину в списке рассылки дистрибутива XYZ...

Звучит логично, хотя подверженность уязвимости по дистрибутивам в первую
очередь зависит от локальных настроек.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 3834 bytes --]

On Tue, Jan 04, 2005 at 03:06:41AM +1000, Dmitry Derjavin wrote:
[...]
> Это тоже типичная ситуация. :)
> 
> >> А вовсе не на уровне аудита кода или подготовки обновлений.
> >
> > И на этом уровне тоже.
> 
> Нет, не на этом. Тут что-то из серии мух и котлет: сначала, видимо,
> имеет смысл сформулировать проблему, максимально абстрагировавшись от
> деталей производственного процесса. "Есть некое производство, объём
> которого постоянно растёт, в связи с чем имеющихся ресурсов становится
> недостаточно для поддержания качества на прежнем уровне" -- как-то
> так. И решать эту проблему, по-моему, нужно как раз в подобной
> формулировке, и уже менеджерам производственного процесса, а не
> программистам, которые, я подозреваю, пытаются её сейчас решить.

Большинство этого ещё не понимает.
Я бы на вашем месте не ждал, пока "менеджеры производственного процесса"
осознают задачу и научатся её решать.  Попробуйте оценить свои реальные
потребности в обновлениях и придумать, как их можно удовлетворить.

> >> > Пришлось чем-то пожертвовать.  Лучше уж сократить выпуск
> >> > анонсов, чем выпуск обновлений, хотя и он тоже неизбежно
> >> > сокращается.
> >> 
> >> Не лучше, а гораздо хуже -- уверяю вас. Особенно в связи с тем, что
> >> сокращается выпуск обновлений. Думаю, что именно с точки зрения
> >> безопасности гораздо правильнее в такой ситуации сосредоточиться на
> >> подготовке анонсов. В этом случае те же админы сэкономят кучу
> >> времени, если будут точно знать, уязвима конкретная сборка или нет.
> >
> > Я не умею сочинять анонсы к незафиксенным уязвимостям.  И не хочу
> > уметь.
> 
> Имелось в виду примерно следующее:
> 
> http://lists.altlinux.ru/pipermail/security-announce/2001-March/000001.html
> http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html
> 
> На этой кожуре от банана отпечатки ваших зубов, Дмитрий. ;)

Ну, надписи типа сентябрьской можно отсылать по cron'у. :)

> >> А обновление можно будет подготовить средствами сообщества. Как,
> >> например, и получилось недавно во время совершенно безобразного, на
> >> мой взгляд, инцидента с php.
> >
> > По-моему, с php давно всё плохо.  Могу назвать ещё несколько таких
> > пакетов, которые со временем уходят (или не уходят, хоть и должны) в
> > contrib из-за неподдерживаемости.  Вы, думаю, тоже.
> 
> Что "тоже" -- в contrib? :)
> 
> А если серьёзно -- по-моему, php это один из важнейших элементов
> современного web-сервера. И если дистрибутив позиционируется как
> серверный, то в contrib такому пакету никак нельзя. И не важно при
> этом, "хорошо" с ним или "плохо". Нужно сделать, чтобы стало хорошо.

mod_php неисправим.  Те, кто его используют, должны знать, что они
постоянно рискуют нарваться на проблемы такого рода.  У меня есть
основания полагать, что blackhat community давно эксплуатирует ошибки в
mod_php и не стремится их публиковать.

> > Что касается подготовки обновлений средствами сообщества, то я готов
> > это направление поддерживать, как наиболее естественное в
> > сложившейся ситуации.
> 
> Замечательная новость. Предлагаю начать с официального объявления, в
> котором бы однозначно оговаривалась сфера ответственности Security
> Team.

Лучше начать с определения этой сферы. :)

> >> Давайте пока не будем. Во всяком случае, пока Security Team таким
> >> странным образом расставляет приоритеты..
> >
> > Я убеждён, что исправление важнее анонса.  Сисадмин в состоянии
> > проанализировать степень угрозы скорее, чем подготовить исправление.
> 
> А ещё он должен быть в состоянии оценить заранее затраты своего
> времени и их примерную стоимость.
> 
> Представьте себе такую ситуацию:
[...]
> Достаточно ли это убедительный пример?

Такое было хоть раз в истории?  Или только могло быть?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 461 bytes --]

On Mon, Jan 03, 2005 at 01:38:03PM +0500, Nizamov Shavkat wrote:
> > На практике именно так и бывает, потому что:
> > 1. Реакция на угрозу всегда очень быстрая, обновления появляются
> > мгновенно.
> 
> скажите где вы берете эти мгновенно появляющиеся обновления для АЛМ2.2/2.4
> и все вопросы сразу отпадут.

А некоторым хватает и того, что есть.  Мне, например, пока ещё достаточно.
Видимо, лично у вас потребность в обновлениях шире.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 473 bytes --]

Dmitry V. Levin пишет:

>>>Я не умею сочинять анонсы к незафиксенным уязвимостям.  И не хочу
>>>уметь.
>>
>>Имелось в виду примерно следующее:
>>
>>http://lists.altlinux.ru/pipermail/security-announce/2001-March/000001.html
>>http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html
>>
>>На этой кожуре от банана отпечатки ваших зубов, Дмитрий. ;)
> 
> 
> Ну, надписи типа сентябрьской можно отсылать по cron'у. :)
> 
Ну так ВЫСЫЛАЙТЕ, если можно...

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Mon, Jan 03, 2005 at 03:06:00PM +0300, Dmitry V. Levin wrote:

DVL> Повторю ещё раз, я считаю, что специалист должен иметь различные источники
DVL> достоверной информации, а всем остальным не имеет смысла вдаваться в такие
DVL> подробности.

Принципиальный вопрос -- пользователь спец-дистрибутивов вроде SOHO тоже
должен быть квалифицированым системным администратором, и тратить своё
время на получение информации "а нужно ли обновляться"?

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Mon, Jan 03, 2005 at 09:20:38PM +0300, Dmitry V. Levin wrote:

DVL> mod_php неисправим.  Те, кто его используют, должны знать, что они
DVL> постоянно рискуют нарваться на проблемы такого рода.  У меня есть
DVL> основания полагать, что blackhat community давно эксплуатирует ошибки в
DVL> mod_php и не стремится их публиковать.

Увы, CGI-вариант использовать нереально (сервер проседает мгновенно).
FastCGI сборки у нас пока нет. Выбора нет, _приходится_ использовать
mod_php.

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 698 bytes --]

On Tue, Jan 04, 2005 at 12:56:19PM +0300, Denis Smirnov wrote:
> On Mon, Jan 03, 2005 at 03:06:00PM +0300, Dmitry V. Levin wrote:
> 
> DVL> Повторю ещё раз, я считаю, что специалист должен иметь различные источники
> DVL> достоверной информации, а всем остальным не имеет смысла вдаваться в такие
> DVL> подробности.
> 
> Принципиальный вопрос -- пользователь спец-дистрибутивов вроде SOHO тоже
> должен быть квалифицированым системным администратором, и тратить своё
> время на получение информации "а нужно ли обновляться"?

Насколько я понимаю, пользователь спец-дистрибутивов вроде SOHO не
является специалистом.  К него просто должна зажигаться лампочка "обновить".


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Tue, Jan 04, 2005 at 02:57:21PM +0300, Dmitry V. Levin wrote:

>> Принципиальный вопрос -- пользователь спец-дистрибутивов вроде SOHO тоже
>> должен быть квалифицированым системным администратором, и тратить своё
>> время на получение информации "а нужно ли обновляться"?
DVL> Насколько я понимаю, пользователь спец-дистрибутивов вроде SOHO не
DVL> является специалистом.  К него просто должна зажигаться лампочка "обновить".

А для него своевременные обновления _гарантируются_?

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 812 bytes --]

On Tue, Jan 04, 2005 at 03:22:51PM +0300, Denis Smirnov wrote:
> On Tue, Jan 04, 2005 at 02:57:21PM +0300, Dmitry V. Levin wrote:
> 
> >> Принципиальный вопрос -- пользователь спец-дистрибутивов вроде SOHO тоже
> >> должен быть квалифицированым системным администратором, и тратить своё
> >> время на получение информации "а нужно ли обновляться"?
> DVL> Насколько я понимаю, пользователь спец-дистрибутивов вроде SOHO не
> DVL> является специалистом.  К него просто должна зажигаться лампочка "обновить".
> 
> А для него своевременные обновления _гарантируются_?

А как вы думаете (и почему вы так думаете)?

Можно попробовать:
1. Прочитать текст уведомления о правах, там должно быть написано,
  что гарантирует фирма-производитель.
2. Спросить у того, кто этот продукт продаёт.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry Derjavin]

On Tue, Jan 04 2005 at 04:20, "Dmitry V. Levin" <ldv@altlinux.org> wrote:

> Я бы на вашем месте не ждал, пока "менеджеры производственного
> процесса" осознают задачу и научатся её решать.

Скорее, когда они появятся в поле зрения.

> Попробуйте оценить свои реальные потребности в обновлениях и
> придумать, как их можно удовлетворить.

Для себя я этот вопрос, конечно же, уже решил. И в тактическом и в
стратегическом плане. Но это задача не творческая, и не такая
интересная.

>> Имелось в виду примерно следующее:
>> 
>> http://lists.altlinux.ru/pipermail/security-announce/2001-March/000001.html
>> http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html
>> 
>> На этой кожуре от банана отпечатки ваших зубов, Дмитрий. ;)
>
> Ну, надписи типа сентябрьской можно отсылать по cron'у. :)

Если можно, отсылайте пожалуйста! Собственно, именно этого-то и
хочется в первую очередь.

Сделаете?

>> > Что касается подготовки обновлений средствами сообщества, то я
>> > готов это направление поддерживать, как наиболее естественное в
>> > сложившейся ситуации.
>> 
>> Замечательная новость. Предлагаю начать с официального объявления,
>> в котором бы однозначно оговаривалась сфера ответственности
>> Security Team.
>
> Лучше начать с определения этой сферы. :)

Ужас, как всё запущено.. :)  Тогда определите её, пожалуйста,
предварительно. И сообща придём к какой-нибудь ясности в этом
вопросе.

Главное, что хочется понять в результате -- в чём конкретно можно
сейчас полагаться на Security Team, а в чём нет.

-- 
~dd

Re: [Comm] Re: Безопасность

[Dmitry Derjavin]

On Tue, Jan 04 2005 at 04:20, "Dmitry V. Levin" <ldv@altlinux.org> wrote:

>> А если серьёзно -- по-моему, php это один из важнейших элементов
>> современного web-сервера. И если дистрибутив позиционируется как
>> серверный, то в contrib такому пакету никак нельзя. И не важно при
>> этом, "хорошо" с ним или "плохо". Нужно сделать, чтобы стало
>> хорошо.
>
> mod_php неисправим.  Те, кто его используют, должны знать, что они
> постоянно рискуют нарваться на проблемы такого рода.  У меня есть
> основания полагать, что blackhat community давно эксплуатирует
> ошибки в mod_php и не стремится их публиковать.

Спасибо за интересный комментарий. А что вы можете сказать про
cgi/fastcgi php в плане безопасности?

Ведь если mod_php неисправим, видимо, имеет смысл стремиться
избавляться от него в следующих версиях дистрибутива. Я имею в виду
внедрение альтернативного варианта, а не просто помещение в contrib.

-- 
~dd

[Comm] Безопасность

[Denis Smirnov]

On Tue, Jan 04, 2005 at 03:30:36PM +0300, Dmitry V. Levin wrote:

>> А для него своевременные обновления _гарантируются_?
DVL> А как вы думаете (и почему вы так думаете)?

К сожалению мои телепатические способности пока недостаточно велики :(

DVL> Можно попробовать:
DVL> 1. Прочитать текст уведомления о правах, там должно быть написано,
DVL>   что гарантирует фирма-производитель.
DVL> 2. Спросить у того, кто этот продукт продаёт.

Ясно.

Ладно, действительно хватит тратить ваше время. 

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1348 bytes --]

On Tue, Jan 04, 2005 at 11:17:52PM +1000, Dmitry Derjavin wrote:
> >> Имелось в виду примерно следующее:
> >> 
> >> http://lists.altlinux.ru/pipermail/security-announce/2001-March/000001.html
> >> http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html
> >> 
> >> На этой кожуре от банана отпечатки ваших зубов, Дмитрий. ;)
> >
> > Ну, надписи типа сентябрьской можно отсылать по cron'у. :)
> 
> Если можно, отсылайте пожалуйста! Собственно, именно этого-то и
> хочется в первую очередь.
> 
> Сделаете?

Я не вижу для этого нормальной формы.  Подскажете?

> >> > Что касается подготовки обновлений средствами сообщества, то я
> >> > готов это направление поддерживать, как наиболее естественное в
> >> > сложившейся ситуации.
> >> 
> >> Замечательная новость. Предлагаю начать с официального объявления,
> >> в котором бы однозначно оговаривалась сфера ответственности
> >> Security Team.
> >
> > Лучше начать с определения этой сферы. :)
> 
> Ужас, как всё запущено.. :)  Тогда определите её, пожалуйста,
> предварительно. И сообща придём к какой-нибудь ясности в этом
> вопросе.
> 
> Главное, что хочется понять в результате -- в чём конкретно можно
> сейчас полагаться на Security Team, а в чём нет.

А что вы, собственно, ждёте именно от ST на данном историческом этапе?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Алексей Данилович]

Dmitry Derjavin пишет:
> On Tue, Jan 04 2005 at 04:20, "Dmitry V. Levin" <ldv@altlinux.org> wrote:
> 
> 
>>>А если серьёзно -- по-моему, php это один из важнейших элементов
>>>современного web-сервера. И если дистрибутив позиционируется как
>>>серверный, то в contrib такому пакету никак нельзя. И не важно при
>>>этом, "хорошо" с ним или "плохо". Нужно сделать, чтобы стало
>>>хорошо.
>>
>>mod_php неисправим.  Те, кто его используют, должны знать, что они
>>постоянно рискуют нарваться на проблемы такого рода.  У меня есть
>>основания полагать, что blackhat community давно эксплуатирует
>>ошибки в mod_php и не стремится их публиковать.
> 
> 
> Спасибо за интересный комментарий. А что вы можете сказать про
> cgi/fastcgi php в плане безопасности?
> 
> Ведь если mod_php неисправим, видимо, имеет смысл стремиться
> избавляться от него в следующих версиях дистрибутива. Я имею в виду
> внедрение альтернативного варианта, а не просто помещение в contrib.
> 


Господа, доброго времени суток. Сейчас рискую оказаться закиданным 
тухлыми помидорами, или остаться без ответа. Но все равно задам. Только 
вот поднимаю сервачок на АЛМ 2.4., а информацию про дырку в mod_php, 
видимо, прошляпил. Ткните в ссылочку на нее, плиз. Потому как без php 
там не обойтись, а я только "разрекламировал" ALM... :((

Re: [Comm] Re: Безопасность

[Denis Kirienko]

Получил Wed, 05 Jan 2005 02:02:32 +0300 от Алексей Данилович следующее
письмо:

> Господа, доброго времени суток. Сейчас рискую оказаться закиданным 
> тухлыми помидорами, или остаться без ответа. Но все равно задам.
> Только вот поднимаю сервачок на АЛМ 2.4., а информацию про дырку в
> mod_php, видимо, прошляпил. Ткните в ссылочку на нее, плиз. Потому
> как без php там не обойтись, а я только "разрекламировал" ALM... :((


Первое сообщение о нашумевшем вирусе, поражающем форумы на phpbb
используя уязвимости в php:

http://lists.altlinux.ru/pipermail/community/2004-December/141198.html

Сообщение об обновлении php для ALT Linux:

http://lists.altlinux.ru/pipermail/security-announce/2004-December/000267.html

--
Денис

Re: [Comm] Re: Безопасность

[Dmitry Derjavin]

On Wed, Jan 05 2005 at 01:12, "Dmitry V. Levin" <ldv@altlinux.org> wrote:

>> >> http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html
>> >> 
>> >> На этой кожуре от банана отпечатки ваших зубов, Дмитрий. ;)
>> >
>> > Ну, надписи типа сентябрьской можно отсылать по cron'у. :)
>> 
>> Если можно, отсылайте пожалуйста! Собственно, именно этого-то и
>> хочется в первую очередь.
>> 
>> Сделаете?
>
> Я не вижу для этого нормальной формы.  Подскажете?

Не совсем понятно, что вы подразумевали под формой..

Хотелось бы, чтобы после того, как ST становится известно о
существовании уязвимости в программном продукте, в каком-то виде
входящем в Sisyphus, в security-announce@ появлялось бы письмо
примерно следующего содержания:

"Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
продукте таком-то, могущая привести к таким-то печальным
последствиям. По зависящим от ST причинам ;) текущая сборка altlinux
уязвимости не подвержена."

Или:

"Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
продукте таком-то, могущая привести к таким-то печальным
последствиям. Версии продукта, входящие в состав таких-то
дистрибутивов altlinux подвержены данной уязвимости. По независящим от
ST причинам подготовка официального обновления
задерживается. Параллельно с ST подготовка обновления ведётся силами
сообщества. Обсуждение подготовки неофициального апдейта проходит в
рассылке такой-то (ссылка на первое сообщение треда). Ожидаемое время
появления официального апдейта -- такое-то, неофициального --
такое-то."

И после выхода обновления, не важно -- официального или нет, хотелось
бы сразу же видеть в security-announce соответствующий анонс.

>> Главное, что хочется понять в результате -- в чём конкретно можно
>> сейчас полагаться на Security Team, а в чём нет.
>
> А что вы, собственно, ждёте именно от ST на данном историческом
> этапе?

Хороший вопрос. На данном этапе -- в первую очередь анонсов, о которых
сказано выше.

Во вторую, видимо, всего того, для чего она создавалась, только с
поправкой "координация усилий сообщества по ...". И далее по тексту
начиная разработкой рекомендаций для пользователей и заканчивая
подготовкой обновлений.

А вы как ответили бы на свой собственный вопрос?

-- 
~dd

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 3283 bytes --]

On Thu, Jan 06, 2005 at 02:35:32AM +1000, Dmitry Derjavin wrote:
> On Wed, Jan 05 2005 at 01:12, "Dmitry V. Levin" <ldv@altlinux.org> wrote:
> 
> >> >> http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html
> >> >> 
> >> >> На этой кожуре от банана отпечатки ваших зубов, Дмитрий. ;)
> >> >
> >> > Ну, надписи типа сентябрьской можно отсылать по cron'у. :)
> >> 
> >> Если можно, отсылайте пожалуйста! Собственно, именно этого-то и
> >> хочется в первую очередь.
> >> 
> >> Сделаете?
> >
> > Я не вижу для этого нормальной формы.  Подскажете?
> 
> Не совсем понятно, что вы подразумевали под формой..
> 
> Хотелось бы, чтобы после того, как ST становится известно о
> существовании уязвимости в программном продукте, в каком-то виде
> входящем в Sisyphus, в security-announce@ появлялось бы письмо
> примерно следующего содержания:
> 
> "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
> продукте таком-то, могущая привести к таким-то печальным
> последствиям. По зависящим от ST причинам ;) текущая сборка altlinux
> уязвимости не подвержена."

Насколько я понимаю, так редко кто поступает, разве что в ответ на ложную
информацию о якобы существующей уязвимости.  Если вы действительно хотите
поднять планку так высоко, то надо искать добровольцев.

> Или:
> 
> "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
> продукте таком-то, могущая привести к таким-то печальным
> последствиям. Версии продукта, входящие в состав таких-то
> дистрибутивов altlinux подвержены данной уязвимости. По независящим от
> ST причинам подготовка официального обновления
> задерживается. Параллельно с ST подготовка обновления ведётся силами
> сообщества. Обсуждение подготовки неофициального апдейта проходит в
> рассылке такой-то (ссылка на первое сообщение треда). Ожидаемое время
> появления официального апдейта -- такое-то, неофициального --
> такое-то."

А не проще ли завести специальную рассылку для координации действий такого
рода.  Кого интересуют неофициальные обновления, сможет подписаться в
режиме readonly.  Дело в том, что написание продуманных анонсов порой
занимает непозволительно много времени, и если это возможно делегировать,
то надо попробовать.

И, главное, скажите пожалуйста, что делать с теми уязвимостями, над
подготовкой обновлений к которым фактически никто не работает?

> И после выхода обновления, не важно -- официального или нет, хотелось
> бы сразу же видеть в security-announce соответствующий анонс.
> 
> >> Главное, что хочется понять в результате -- в чём конкретно можно
> >> сейчас полагаться на Security Team, а в чём нет.
> >
> > А что вы, собственно, ждёте именно от ST на данном историческом
> > этапе?
> 
> Хороший вопрос. На данном этапе -- в первую очередь анонсов, о которых
> сказано выше.
> 
> Во вторую, видимо, всего того, для чего она создавалась, только с
> поправкой "координация усилий сообщества по ...". И далее по тексту
> начиная разработкой рекомендаций для пользователей и заканчивая
> подготовкой обновлений.

Интересно, у кого-нибудь ещё есть мнение на эту тему?

> А вы как ответили бы на свой собственный вопрос?

Предлагаете заняться самокопанием в списке рассылки?  Нет, спасибо. :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Sergey S. Skulachenko]

On Wed, 5 Jan 2005 19:51:28 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

> Интересно, у кого-нибудь ещё есть мнение на эту тему?

Есть. Нельзя так бездарно растрачивать время на пустопорожний
трёп. Я вторично настаиваю на применении пункта Правил: дискуссия
должна быть перенесена в курилку по первому требованию любого
участника списка рассылки.

-- 
С уважением,
С.С.Скулаченко

Re: [Comm] Re: Безопасность

[Dmitry Derjavin]

On Thu, Jan 06 2005 at 02:51, "Dmitry V. Levin" <ldv@altlinux.org> wrote:

>> существовании уязвимости в программном продукте, в каком-то виде
>> входящем в Sisyphus, в security-announce@ появлялось бы письмо
>> примерно следующего содержания:
>> 
>> "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
>> продукте таком-то, могущая привести к таким-то печальным
>> последствиям. По зависящим от ST причинам ;) текущая сборка
>> altlinux уязвимости не подвержена."
>
> Насколько я понимаю, так редко кто поступает, разве что в ответ на
> ложную информацию о якобы существующей уязвимости.  Если вы
> действительно хотите поднять планку так высоко, то надо искать
> добровольцев.

Вообще -- да; хотелось бы. По поводу добровольцев есть некоторые идеи,
об этом ниже.

>> Или:
>> 
>> "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в
>> продукте таком-то, могущая привести к таким-то печальным
>> последствиям. Версии продукта, входящие в состав таких-то
>> дистрибутивов altlinux подвержены данной уязвимости. По независящим
>> от ST причинам подготовка официального обновления
>> задерживается. Параллельно с ST подготовка обновления ведётся
>> силами сообщества. Обсуждение подготовки неофициального апдейта
>> проходит в рассылке такой-то (ссылка на первое сообщение
>> треда). Ожидаемое время появления официального апдейта -- такое-то,
>> неофициального -- такое-то."
>
> А не проще ли завести специальную рассылку для координации действий
> такого рода.  Кого интересуют неофициальные обновления, сможет
> подписаться в режиме readonly.  Дело в том, что написание
> продуманных анонсов порой занимает непозволительно много времени, и
> если это возможно делегировать, то надо попробовать.

Есть мнение попробовать сделать это в рамках Newsletter, работа над
первой версией (не выпуском!) которого сейчас практически закончена.

Один из вариантов координации действий описан здесь:
http://dd.vl.ru/wiki/AltlinuxNewsletter/IntroDuction

Таким образом, продуманные анонсы для начала можно заменить
развёрнутыми комментариями в рассылке и ссылками на них в Newsletter.

Что вы об этом думаете?

В качестве рассылки предлагаю пока использовать community@, как самую
посещаемую. Предположительно, здесь среди подписчиков проще найти
желающих оставить хороший комментарий.

> И, главное, скажите пожалуйста, что делать с теми уязвимостями, над
> подготовкой обновлений к которым фактически никто не работает?

Для начала придумать способ узнавать, над подготовкой каких обновлений
работа уже ведётся. Bugzilla?

>> >> Главное, что хочется понять в результате -- в чём конкретно
>> >> можно сейчас полагаться на Security Team, а в чём нет.
>> >
>> > А что вы, собственно, ждёте именно от ST на данном историческом
>> > этапе?

[...]

>> А вы как ответили бы на свой собственный вопрос?
>
> Предлагаете заняться самокопанием в списке рассылки?

И в мыслях не было! Действительно интересно -- чего вы ждёте от ST на
данном историческом (да уж..) этапе.

> Нет, спасибо. :)

Просто, вы, Дмитрий, виртуозно уходите от ответов. :) Приходится
изощряться.

-- 
~dd

[Comm] Re: Безопасность

[Michael Shigorin]

On Mon, Jan 03, 2005 at 01:00:20PM +0300, Sergey S. Skulachenko wrote:
> > скажите где вы берете эти мгновенно появляющиеся обновления для
> > АЛМ2.2/2.4 и все вопросы сразу отпадут.
> А у меня и нет никаких надуманных вопросов. Чистота линии меня
> совершенно не интересует. За несколько часов перед Новым Годом
> собрал очередную дешевенькую машинку на плате P4X533-A от
> Elitegroup (~40$), Celeron 1.8, памяти 512 Мб.

Сергей, или не обсуждайте то, чего не понимаете (по ходу кого-то
пытаясь оскорблять), или одно из двух.

Функциональность имеет к безопасности весьма своеобразное
отношение.

Здесь речь о втором, хотя предыдущий виток темы (загнувшийся в
том же направлении гипотетического business-devel@) был посвящён
первому.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] Re: Безопасность

[Michael Shigorin]

On Mon, Jan 03, 2005 at 10:46:15AM +0300, Sergey S. Skulachenko wrote:
> 3. Раз это так, то в чём же тогда суть обсуждения? В настырной
> саморекламе отдельных участников? Но с этим хорошо бы перейти в
> курилку.

Суть обсуждения -- в том, что налицо проблемы, заставляющие
некоторую часть сообщества опять переживать за постановку
бизнес-вопросов.  Ничего нового в этом нет, просто сейчас
опять зацепило не качество, а поддерживаемость выпуска.

Т.к. предыдущие попытки обсуждать что-либо на публике
благополучно провалились, а лезть во внутренние дела фирмы --
занятие как минимум неблагодарное, то остаётся организовывать
закрытие вопросов своими силами или менять дистрибутив.
Для нас на сейчас первый путь заметно дешевле.

А в курилке это обсуждать нафиг бессмысленно.  Здесь, впрочем,
тоже.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1181 bytes --]

On Mon, Jan 03, 2005 at 03:06:00PM +0300, Dmitry V. Levin wrote:
> > В то же время, доверие к ST может быть достаточно высоко,
> > чтобы ставить рекомендуемые ею секьюрити-апдейты, не вникая
> > особенно в то, что именно там уже пофиксено (ну или
> > разбираясь постфактум, как оно часто и бывает).

Отдельные типы в лучшем случае смотрят changelog пакетов,
упомянутых в письмах cron(8).

> Я бы предпочёл, чтобы специалисты думали прежде чем обновлять,
> а все остальные ставили всё, что есть в updates, даже без
> анонса.

Может, эту мысль тоже где-то на видном месте altlinux.ru прибить?
(и/или в документации)

> > В этом смысле, информация о "незафиксенных" уязвимостях может
> > быть как бы и важнее, чем о "зафиксенных".
> Повторю ещё раз, я считаю, что специалист должен иметь
> различные источники достоверной информации, а всем остальным не
> имеет смысла вдаваться в такие подробности.

Плохо то, что отслеживалки статуса нет никакой --
"известно/в_работе/заткнуто/неактуально".

2 org: ау, так что с bugzilla по выпускам?  Это как раз туда.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 519 bytes --]

On Tue, Jan 04, 2005 at 06:12:49PM +0300, Dmitry V. Levin wrote:
> > Главное, что хочется понять в результате -- в чём конкретно можно
> > сейчас полагаться на Security Team, а в чём нет.
> А что вы, собственно, ждёте именно от ST на данном историческом этапе?

Координации тех, кто может уделить время с известной
(необязательно высокой) квалификацией на подготовку, тестирование
и анонсирование обновлений.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 735 bytes --]

On Wed, Jan 05, 2005 at 09:12:49PM +0300, Sergey S. Skulachenko wrote:
> > Интересно, у кого-нибудь ещё есть мнение на эту тему?
> Есть. Нельзя так бездарно растрачивать время на пустопорожний
> трёп. Я вторично настаиваю на применении пункта Правил: дискуссия
> должна быть перенесена в курилку по первому требованию любого
> участника списка рассылки.

Можно, я настою на том, что Ваши комментарии будут перенесены
туда, а обсуждение, которому больше нет места нигде -- будет
происходить здесь?

Если будут возражения -- поправим правила для исключения даже
формальной их обоснованности при отсутствии логической. :-/

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 949 bytes --]

On Thu, Jan 06, 2005 at 03:09:00PM +0200, Michael Shigorin wrote:
> On Tue, Jan 04, 2005 at 06:12:49PM +0300, Dmitry V. Levin wrote:
> > > Главное, что хочется понять в результате -- в чём конкретно можно
> > > сейчас полагаться на Security Team, а в чём нет.
> > А что вы, собственно, ждёте именно от ST на данном историческом этапе?
> 
> Координации тех, кто может уделить время с известной
> (необязательно высокой) квалификацией на подготовку, тестирование
> и анонсирование обновлений.

Координация - да, логично.  Хотя порой не знаешь, кого поставить в
известность о надвигающейся уязвимости в том или ином запущенном пакете.

Тестирование - вряд ли.  Да, можно в принципе проверить исправление на
правдоподобность, но проверять работоспособность пакетов, которыми не
пользуешься, практически не реально.

Анонсирование готовых обновлений - да, пожалуй, хотя на чёткие
формулировки иногда жалко тратить время.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Безопасность

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1051 bytes --]

On Thu, Jan 06, 2005 at 05:16:59PM +0300, Dmitry V. Levin wrote:
> > > > Главное, что хочется понять в результате -- в чём
> > > > конкретно можно сейчас полагаться на Security Team, а в
> > > > чём нет.
> > 
> > Координации тех, кто
> >   может уделить время с известной (необязательно высокой)
> >   квалификацией на
> >     подготовку, тестирование и анонсирование обновлений.
> Координация - да, логично.  Хотя порой не знаешь, кого
> поставить в известность о надвигающейся уязвимости в том или
> ином запущенном пакете.

Видимо. (а есть private bugs в багзилле, кстати?  как в сторедже)

> Тестирование 
> Анонсирование

Ты плохо прочитал тщательно расставленные падежи. :)

> готовых обновлений - да, пожалуй, хотя на чёткие
> формулировки иногда жалко тратить время.

Если честно, то списки URL мне всегда казались лишними, да и
общая подробность -- порой тоже избыточной (именно представляя
время на составление).

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Безопасность

[Michael Shigorin]

On Sat, Dec 25, 2004 at 09:20:02PM +0300, Денис Смирнов wrote:
> IMHO : информационная рассылка дистрибутива _должна заменять_ bugtraq.

IMCO нет.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: Безопасность

[Алексей Данилович]

Denis Kirienko пишет:

>Получил Wed, 05 Jan 2005 02:02:32 +0300 от Алексей Данилович следующее
>письмо:
>
>  
>
>>Господа, доброго времени суток. Сейчас рискую оказаться закиданным 
>>тухлыми помидорами, или остаться без ответа. Но все равно задам.
>>Только вот поднимаю сервачок на АЛМ 2.4., а информацию про дырку в
>>mod_php, видимо, прошляпил. Ткните в ссылочку на нее, плиз. Потому
>>как без php там не обойтись, а я только "разрекламировал" ALM... :((
>>    
>>
>
>
>Первое сообщение о нашумевшем вирусе, поражающем форумы на phpbb
>используя уязвимости в php:
>
>http://lists.altlinux.ru/pipermail/community/2004-December/141198.html
>
>Сообщение об обновлении php для ALT Linux:
>
>http://lists.altlinux.ru/pipermail/security-announce/2004-December/000267.html
>
>--
>Денис
>
>
>  
>

Спасибо

Re: [Comm] Re: Безопасность

[Denis Smirnov]

On Wed, Jan 05, 2005 at 07:51:28PM +0300, Dmitry V. Levin wrote:

> >> А что вы, собственно, ждёте именно от ST на данном историческом
> >> этапе?
>> Хороший вопрос. На данном этапе -- в первую очередь анонсов, о которых
>> сказано выше.
>> Во вторую, видимо, всего того, для чего она создавалась, только с
>> поправкой "координация усилий сообщества по ...". И далее по тексту
>> начиная разработкой рекомендаций для пользователей и заканчивая
>> подготовкой обновлений.
DVL> Интересно, у кого-нибудь ещё есть мнение на эту тему?

Да. Полностью поддерживаю эту позицию.

-- 
С уважением, Денис

http://freesource.info

[Comm] q: sec team proposal (was: Безопасность)

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1023 bytes --]

On Thu, Dec 30, 2004 at 04:16:49PM +0300, Denis Smirnov wrote:
> > >>> 2 рабочих дня для security это совсем-совсем несерьёзно. Да и
> > >>> завязываться на небольшое количество людей -- тоже.
> > MS>> 1) лучше, чем ничего (если вопрос между апдейтами и анонсами);
> > MS>> 2) imho втроём-впятером с координатором это тянется с приемлемой
> > MS>>    надёжностью.
> >> 5 это вполне полноценна команда.
> >> Дык как сейчас у нас security team организована?
> DVL> А что конкретно вас интересует?
> Кто является членами этой team, и краткое описание workflow.

Кстати о птичках:

http://news.gmane.org/gmane.linux.asplinux.support/cutoff=18140

2 {CCed}: как насчёт организоваться на манер backports (видимо, 
для начала прямо там) и потихоньку разгрести то, что ещё висит?

Master 2.4 как раздел в bugzilla уже есть, можно для начала
развесить проблемы туда.

От нашей конторы -- два человека будет.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]