From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sat, 9 Sep 2006 19:54:39 +0400 From: =?koi8-r?B?5MXOydMg883J0s7P1w==?= To: =?koi8-r?B?y9XM2NTV0s7ZyiDPxtTP0MnL?= Message-ID: <20060909155439.GC5650@localhost.localdomain> References: <20060904223234.GA18504@localhost.localdomain> <20060906003513.2b8c7391@dhcppc0> <20060905203137.GA16522@localhost.localdomain> <20060907032226.1175b0b5@dhcppc0> <20060906224616.GA14121@localhost.localdomain> <20060907083518.754aeafe@dhcppc0> <20060908205611.GD21561@osdn.org.ua> <87mz9aj8ur.fsf@dd.farpost.com> <20060908234535.GA18966@localhost.localdomain> <8764fxmp6b.fsf@dd.farpost.com> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <8764fxmp6b.fsf@dd.farpost.com> Subject: Re: [room] =?koi8-r?b?wsXaz9DB087P09TJ?= X-BeenThere: smoke-room@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: =?koi8-r?b?y9XM2NTV0s7ZyiDPxtTP0MnL?= List-Id: =?koi8-r?b?y9XM2NTV0s7ZyiDPxtTP0MnL?= List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 09 Sep 2006 15:54:55 -0000 Archived-At: List-Archive: On Sat, Sep 09, 2006 at 12:15:08PM +0400, Dmitry Derjavin wrote: DD> Тут, по-моему, о другом: важно не только качество "ключевых DD> компонент", но и оперативность обновлений. Алексей предложил хороший DD> эксперимент для проверки устойчивости дистрибутива к взлому. А пример DD> с серверами на выставках не показателен, т. к. там были не столько DD> сервера под ALTLinux, сколько сервера под управлением ldv@. Это же DD> совершенно разные вещи! Есть такая интересная штука, по поводу оперативности обновлений. Называется рынок 0-day эксплойтов. А ещё кто-то может найти дырку раньше, чем её найдет тот, кто удосужится проинформировать авторов. Самый радужный для пользователя вариант: 1. некто нашел багу; 2. проинформирвал авторов; 3. авторы почесали репу и сделали патч (или даже тот самый некто его прислал, и им его надо было только приложить); 4. формируется выпуск новой версии; 5. рассылается уведомление в соответствующих списках рассылки; 6. выходит обновления для дистрибутива 7. обновляемся и успокаиваемся Так вот, между 1-м и 7-м пунктом проходит куда больше времени, чем между просто 5-м и 6-м. Поэтому может быть важно ещё и то, что некоторые мантейнеры могут получать такую информацию уже после 1-го пункта. И это добавляет оперативности. А ещё есть такая проблема -- система должна быть более-менее безопасна даже пока не вышло обновление. И для этого используются многие трюки (вроде privilege separation в openssh). Или -fpie, который ldv@ грозится по-умолчанию использовать при сборки всех пакетов. В ту же степь chrooted сервисы, запуск чего только можно не из пор рута, и т.д. Софта без багов не существует. Существуют только меры, позволяющие уменьшить опасность этих багов. И вот с этой точки зрения Debian вообще не пригоден как дистрибутив. Судя по тому что я читал -- Ubuntu по крайней мере начали об этом задумываться. А в ALT это "just works". Потому я с куда более спокойным сердцем буду поднимать сервер на произвольном снапшоте Сизифе, чем на Debian, или (простите за нехорошее слово) Fedora. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- a long time ago, in a package far, far away ... fixed -- viy in #2902