[room] Ubuntu servers hijacked, used to launch attack

[room] Ubuntu servers hijacked, used to launch attack

[Michael Shigorin]

	Здравствуйте.
Если кого будут настырно спрашивать, почему ALT, а не Ubuntu,
на серверах -- можете сослаться на эту статью, помимо всего:

http://www.eweek.com/article2/0,1895,2171318,00.asp

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] Ubuntu servers hijacked, used to launch attack

[Dmitry Derjavin]

On Thu, Aug 16 2007 at 22:01, Michael Shigorin wrote:

> Если кого будут настырно спрашивать, почему ALT, а не Ubuntu,
> на серверах -- можете сослаться на эту статью, помимо всего:

Михаил, почему такую личную неприязнь испытываете к коллегам??

Не удалось заметить в вашей реплике ничего кроме злорадства в духе
"а у них в команде раздолбайства *ещё* больше чем у нас".

Если уж предлагаете сделать такой вывод из этой истории,
прокомментируйте, пожалуйста, каким образом из инцидента с
несостоятельными админами следует вывод о непригодности Ubuntu в
качестве серверной платформы. Хотя бы и по сравнению с ALT.

Я, кстати, не считаю, что Ubuntu Server лучше или хуже ALT. Просто
ваша реакция напомнила ситуацию 2000 года со взломом серверов MS.

Ссылки по теме:
http://lists.altlinux.ru/pipermail/devel/2000-October/000122.html

-- 
~dd

Re: [room] Ubuntu servers hijacked, used to launch attack

[Aleksey Novodvorsky]

On 8/17/07, Dmitry Derjavin <dd@vl.ru> wrote:
> On Thu, Aug 16 2007 at 22:01, Michael Shigorin wrote:
>
> > Если кого будут настырно спрашивать, почему ALT, а не Ubuntu,
> > на серверах -- можете сослаться на эту статью, помимо всего:
>
> Михаил, почему такую личную неприязнь испытываете к коллегам??
>
> Не удалось заметить в вашей реплике ничего кроме злорадства в духе
> "а у них в команде раздолбайства *ещё* больше чем у нас".
>
> Если уж предлагаете сделать такой вывод из этой истории,
> прокомментируйте, пожалуйста, каким образом из инцидента с
> несостоятельными админами следует вывод о непригодности Ubuntu в
> качестве серверной платформы. Хотя бы и по сравнению с ALT.
>
> Я, кстати, не считаю, что Ubuntu Server лучше или хуже ALT. Просто
> ваша реакция напомнила ситуацию 2000 года со взломом серверов MS.

Я не сравнивал бы Ubuntu Server и ALTLinux Server, это совсем разные
продукты. Можно сравнивать наш продукт с серверами на Debian, RH,
SuSE.
Что касается Ubuntu Server, то это LAMP на Debian + LTSP.  И здесь
надо говорить о том, где LTSP лучше, у нас или в Ubuntu.
Ubuntu сейчас -- вендор десктопа. И десктопы тоже можно сравнивать,
чтобы сделать наш продукт лучше.
Rgrds, Алексей

>
> Ссылки по теме:
> http://lists.altlinux.ru/pipermail/devel/2000-October/000122.html
>
> --
> ~dd
>
> _______________________________________________
> smoke-room mailing list
> smoke-room@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/smoke-room

[room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack)

[Dmitry Derjavin]

On Fri, Aug 17 2007 at 13:48, Aleksey Novodvorsky wrote:

> Я не сравнивал бы Ubuntu Server и ALTLinux Server, это совсем разные
> продукты. Можно сравнивать наш продукт с серверами на Debian, RH,
> SuSE. Что касается Ubuntu Server, то это LAMP на Debian + LTSP.

Судя по http://www.ubuntu.com/products/WhatIsUbuntu/serveredition

в первую очередь это "Integrated and secure platform" "with any of the
standard internet services: mail, web, DNS, file serving or database
management". И только во вторую LAMP, а в третью LTSP.

То есть, исходя из информации на официальном сайте, это такой же
"серверный дистрибутив с широким спектром возможностей, включающий
комплект готовых решений для актуальных задач" плюс реально
существующая поддержка в виде errata и security updates.

О том, что это только "LAMP + LTSP" разработчикам, похоже, ничего не
известно.

> И здесь надо говорить о том, где LTSP лучше, у нас или в Ubuntu.

Здесь надо говорить о том, например, какой дистрибутив выходит и
поддерживается более предсказуемым образом.

Скажите, пожалуйста, "гарантированная поддержка обновлениями по
безопасности в течение 3-х лет с момента выпуска" действительно
выглядит вот так??

http://lists.altlinux.org/pipermail/sysadmins/2007-August/005378.html

Планируется ли выпуск следующей версии? Если да, то когда -- через
год, два, три? В случае ALT ответы на эти вопросы совершенно не
очевидны, в отличие от Ubuntu. Так что, похоже -- да, это
действительно совсем разные продукты.

Поймите меня правильно, я не сторонник использования Ubuntu. Кроме
того, я не использую ни Ubuntu, ни ALT в качестве серверной
платформы. Просто обидно слышать разглагольствования о том, что другие
дистрибутивы нам в подмётки не годятся, когда уже в который раз
приходится отказываться от действительно хорошего продукта из-за
нежелания разработчиков решать давно обозначенные и технически,
видимо, не очень сложные проблемы.

-- 
~dd

Re: [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack)

[Aleksey Novodvorsky]

On 8/17/07, Dmitry Derjavin <dd@vl.ru> wrote:
> On Fri, Aug 17 2007 at 13:48, Aleksey Novodvorsky wrote:
>
> > Я не сравнивал бы Ubuntu Server и ALTLinux Server, это совсем разные
> > продукты. Можно сравнивать наш продукт с серверами на Debian, RH,
> > SuSE. Что касается Ubuntu Server, то это LAMP на Debian + LTSP.
>
> Судя по http://www.ubuntu.com/products/WhatIsUbuntu/serveredition
>
> в первую очередь это "Integrated and secure platform" "with any of the
> standard internet services: mail, web, DNS, file serving or database
> management". И только во вторую LAMP, а в третью LTSP.


Вы бы лучше посмотрели сам дистрибутив, а не релиз на сайте.

Rgrds, Алексей

>
> То есть, исходя из информации на официальном сайте, это такой же
> "серверный дистрибутив с широким спектром возможностей, включающий
> комплект готовых решений для актуальных задач" плюс реально
> существующая поддержка в виде errata и security updates.
>
> О том, что это только "LAMP + LTSP" разработчикам, похоже, ничего не
> известно.
>
> > И здесь надо говорить о том, где LTSP лучше, у нас или в Ubuntu.
>
> Здесь надо говорить о том, например, какой дистрибутив выходит и
> поддерживается более предсказуемым образом.
>
> Скажите, пожалуйста, "гарантированная поддержка обновлениями по
> безопасности в течение 3-х лет с момента выпуска" действительно
> выглядит вот так??
>
> http://lists.altlinux.org/pipermail/sysadmins/2007-August/005378.html
>
> Планируется ли выпуск следующей версии? Если да, то когда -- через
> год, два, три? В случае ALT ответы на эти вопросы совершенно не
> очевидны, в отличие от Ubuntu. Так что, похоже -- да, это
> действительно совсем разные продукты.
>
> Поймите меня правильно, я не сторонник использования Ubuntu. Кроме
> того, я не использую ни Ubuntu, ни ALT в качестве серверной
> платформы. Просто обидно слышать разглагольствования о том, что другие
> дистрибутивы нам в подмётки не годятся, когда уже в который раз
> приходится отказываться от действительно хорошего продукта из-за
> нежелания разработчиков решать давно обозначенные и технически,
> видимо, не очень сложные проблемы.
>
> --
> ~dd
>
> _______________________________________________
> smoke-room mailing list
> smoke-room@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/smoke-room

Re: [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack)

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 2321 bytes --]

On Fri, Aug 17, 2007 at 05:18:12PM +0400, Aleksey Novodvorsky wrote:
> On 8/17/07, Dmitry Derjavin <dd@vl.ru> wrote:
> > On Fri, Aug 17 2007 at 13:48, Aleksey Novodvorsky wrote:
> >
> > > Я не сравнивал бы Ubuntu Server и ALTLinux Server, это совсем разные
> > > продукты. Можно сравнивать наш продукт с серверами на Debian, RH,
> > > SuSE. Что касается Ubuntu Server, то это LAMP на Debian + LTSP.
> >
> > Судя по http://www.ubuntu.com/products/WhatIsUbuntu/serveredition
> >
> > в первую очередь это "Integrated and secure platform" "with any of the
> > standard internet services: mail, web, DNS, file serving or database
> > management". И только во вторую LAMP, а в третью LTSP.
> 
> 
> Вы бы лучше посмотрели сам дистрибутив, а не релиз на сайте.
> 
> Rgrds, Алексей
> 
> > Здесь надо говорить о том, например, какой дистрибутив выходит и
> > поддерживается более предсказуемым образом.
> >
> > Скажите, пожалуйста, "гарантированная поддержка обновлениями по
> > безопасности в течение 3-х лет с момента выпуска" действительно
> > выглядит вот так??
> >
> > http://lists.altlinux.org/pipermail/sysadmins/2007-August/005378.html
> >
> > Планируется ли выпуск следующей версии? Если да, то когда -- через
> > год, два, три? В случае ALT ответы на эти вопросы совершенно не
> > очевидны, в отличие от Ubuntu. Так что, похоже -- да, это
> > действительно совсем разные продукты.
> >
> > Поймите меня правильно, я не сторонник использования Ubuntu. Кроме
> > того, я не использую ни Ubuntu, ни ALT в качестве серверной
> > платформы. Просто обидно слышать разглагольствования о том, что другие
> > дистрибутивы нам в подмётки не годятся, когда уже в который раз
> > приходится отказываться от действительно хорошего продукта из-за
> > нежелания разработчиков решать давно обозначенные и технически,
> > видимо, не очень сложные проблемы.

Алексей, тем не менее, сложно не согласиться с Дмитрием в некоторых
вопросах.

Для начала, кого надо спрашивать насчет того, что по http:// lists.a.o
данные отдает гораздо медленнее, чем по https ?

-- 
>>>А я как раз хотел Tenebrae собрать... 200 мег %)
>>А ещё есть doomsday, который тож будет 200-300 мег...я вот всё
>>хожу вокруг и облизываюсь
>А я -- ET.  Еще 300. :]
Это игрушечный DDoS сизифа? ;-)
		-- horror in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch?attack)

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 692 bytes --]

On Fri, Aug 17, 2007 at 05:26:31PM +0400, Pavlov Konstantin wrote:

> Для начала, кого надо спрашивать насчет того, что по http:// lists.a.o
> данные отдает гораздо медленнее, чем по https ?

Впрочем, я нашел уже это в багзилле.

При попытке ввода бага на ALT Infrastructure / lists.altlinux.org имею:

Internal Error
	  	

		Bugzilla has suffered an internal error. Please save this page and
		send it to legion@altlinux.ru with details of what you were doing
		at the time this message appeared.

		URL: https://bugzilla.altlinux.org/post_bug.cgi
		A legal Status was not set.


-- 
Я начну брать деньги за обучение использованию google :-E
		-- abulava in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack)

[Aleksey Novodvorsky]

On 8/17/07, Pavlov Konstantin <thresh@altlinux.ru> wrote:
> On Fri, Aug 17, 2007 at 05:18:12PM +0400, Aleksey Novodvorsky wrote:
> > On 8/17/07, Dmitry Derjavin <dd@vl.ru> wrote:
> > > On Fri, Aug 17 2007 at 13:48, Aleksey Novodvorsky wrote:
> > >
> > > > Я не сравнивал бы Ubuntu Server и ALTLinux Server, это совсем разные
> > > > продукты. Можно сравнивать наш продукт с серверами на Debian, RH,
> > > > SuSE. Что касается Ubuntu Server, то это LAMP на Debian + LTSP.
> > >
> > > Судя по http://www.ubuntu.com/products/WhatIsUbuntu/serveredition
> > >
> > > в первую очередь это "Integrated and secure platform" "with any of the
> > > standard internet services: mail, web, DNS, file serving or database
> > > management". И только во вторую LAMP, а в третью LTSP.
> >
> >
> > Вы бы лучше посмотрели сам дистрибутив, а не релиз на сайте.
> >
> > Rgrds, Алексей
> >
> > > Здесь надо говорить о том, например, какой дистрибутив выходит и
> > > поддерживается более предсказуемым образом.
> > >
> > > Скажите, пожалуйста, "гарантированная поддержка обновлениями по
> > > безопасности в течение 3-х лет с момента выпуска" действительно
> > > выглядит вот так??
> > >
> > > http://lists.altlinux.org/pipermail/sysadmins/2007-August/005378.html
> > >
> > > Планируется ли выпуск следующей версии? Если да, то когда -- через
> > > год, два, три? В случае ALT ответы на эти вопросы совершенно не
> > > очевидны, в отличие от Ubuntu. Так что, похоже -- да, это
> > > действительно совсем разные продукты.
> > >
> > > Поймите меня правильно, я не сторонник использования Ubuntu. Кроме
> > > того, я не использую ни Ubuntu, ни ALT в качестве серверной
> > > платформы. Просто обидно слышать разглагольствования о том, что другие
> > > дистрибутивы нам в подмётки не годятся, когда уже в который раз
> > > приходится отказываться от действительно хорошего продукта из-за
> > > нежелания разработчиков решать давно обозначенные и технически,
> > > видимо, не очень сложные проблемы.
>
> Алексей, тем не менее, сложно не согласиться с Дмитрием в некоторых
> вопросах.

Да, конечно. Я  не солидаризирусь с Михаилом, но пока Ubuntu и сервер
-- несерьезно. Нужно говорить про Debian.
>
> Для начала, кого надо спрашивать насчет того, что по http:// lists.a.o
> данные отдает гораздо медленнее, чем по https ?
>

Гигория (bga@ )

Rgrds, Алексей

Re: [room] Ubuntu servers hijacked, used to launch attack

[Michael Shigorin]

On Fri, Aug 17, 2007 at 01:32:33PM +0400, Dmitry Derjavin wrote:
> > Если кого будут настырно спрашивать, почему ALT, а не Ubuntu,
> > на серверах -- можете сослаться на эту статью, помимо всего:
> Михаил, почему такую личную неприязнь испытываете к коллегам??

Да не неприязнь.  Просто есть вещи, которые показательны.
И вот к ним-то и неприязнь, поскольку на публику вываливается
совсем другая пропаганда.

> Если уж предлагаете сделать такой вывод из этой истории,

Я предложил факты, а не выводы.

> прокомментируйте, пожалуйста, каким образом из инцидента с
> несостоятельными админами следует вывод о непригодности Ubuntu в
> качестве серверной платформы. Хотя бы и по сравнению с ALT.

Вместо комментария ограничусь вчерашним письмом jono@ubuntu,
которое содержало фрагмент лога на #canonical-sysadmin:

---
	Hello Jono,
just in case:

<gvy> Ng, i know, #1 remote hole in openbsd seemingly had me too
<gvy> had to do one system from scratch
<gvy> one thing to help with web software was this:
<gvy> http://git.altlinux.org/people/mike/packages/?p=apache-honeypot.git;a=tree;h=master;hb=master
<gvy> another is openvz
<gvy> i actually can propose proper server distro which comes
with openvz kernel/utils/management and never had problems like
"netcard stops working on
newer version" on me...
<gvy> it's here: ftp://ftp.altlinux.org/pub/distributions/ALTLinux/4.0/Server/current/iso
<gvy> at least, do consider VPS setup for running crap like what
most web software is currently...
<gvy> ...and you could also borrow the "ssh/pubkey/rsync only"
policy from alt
<Ng> we do have a fairly draconian security model to prevent this
happening again :)
<gvy> good :)
<gvy> btw here's restricted rsync-only shell: ftp://ftp.altlinux.org/pub/people/ldv/rshell
<gvy> anyways, hope you do get some sleep not to mess something
else [subtly] as it happens
<gvy> luck folks!
<Ng> ;)

That openssh problem was the only major problem on our community
hosting servers (4 by now, started in 2003).  AFAIK there were
no security breaches on ALT Linux Ltd servers; public contests
were ran during several exibitions to root a system with no
positives at all, even given a shell.

It does help to have VPS solution in the distro box and proper
kernel hackers very-very-very much, so that services are isolated
and OS upgraded in time...
---

Пойдёт в качестве краткой сводки, характеризующей разницу
в подходах и инструментах, применяемых вроде как не самыми
беспомощными людьми при администрировании серверов сообщества
Ubuntu и сообщества даже не ALT? (подразумевался опыт ведения
*.osdn.org.ua)

> Я, кстати, не считаю, что Ubuntu Server лучше или хуже ALT.
> Просто ваша реакция напомнила ситуацию 2000 года со взломом
> серверов MS.

Я не радуюсь тому, что их подобрали и после этого они были
достаточно сильно не уверены в том, что не было root access.

Я привожу этот _факт_ как то, что _следует_ упомянуть при
попытках _впарить_ Ubuntu на сервер.  Поскольку убунтари зачастую
наблюдаются именно на впаривании и без технической компетенции.

Да, я нахожу это одной из проблем данного проекта,
отчасти следствием концепции, отчасти -- реализации.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack)

[Igor Zubkov]

17.08.07, Dmitry Derjavin<dd@vl.ru> написал(а):
> Скажите, пожалуйста, "гарантированная поддержка обновлениями по
> безопасности в течение 3-х лет с момента выпуска" действительно
> выглядит вот так??
>
> http://lists.altlinux.org/pipermail/sysadmins/2007-August/005378.html

А так? Это было сделано ещё вчера.

http://lists.altlinux.org/pipermail/sisyphus-cybertalk/2007-August/009368.html
http://lists.altlinux.org/pipermail/sisyphus-cybertalk/2007-August/009367.html

-- 
icesik

Re: [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack)

[Michael Shigorin]

On Fri, Aug 17, 2007 at 05:14:18PM +0400, Dmitry Derjavin wrote:
> > И здесь надо говорить о том, где LTSP лучше, у нас или в Ubuntu.

А это ещё вопрос, кстати.  Они сейчас фактически перехватили его
разработку (по ходу убив апстрим и всю культуру -- обсуждение и
решения по факту принимаются на #ltsp, рассылка скорее мёртвая,
архивы канала обнаружить не удалось).  Причём не стесняясь
выкидывать совсем то, что предполагается заменить, но сделано
только наполовину.

Мы возвращали часть вещей из LTSP4.2, чтоб работало как надо.

> Здесь надо говорить о том, например, какой дистрибутив выходит
> и поддерживается более предсказуемым образом.

Ещё бывает разница между заявлениями и практикой; впрочем,
по этой части и Canonical, и Альт Линукс изрядно замечены.

> Скажите, пожалуйста, "гарантированная поддержка обновлениями по
> безопасности в течение 3-х лет с момента выпуска" действительно
> выглядит вот так??
> http://lists.altlinux.org/pipermail/sysadmins/2007-August/005378.html

Это моя слишком тревожная оценка проблемы, которая была более
трезво остужена security officer ;-)  Он знал о ней раньше меня.

> Планируется ли выпуск следующей версии? Если да, то когда --
> через год, два, три? В случае ALT ответы на эти вопросы
> совершенно не очевидны, в отличие от Ubuntu. Так что, похоже --
> да, это действительно совсем разные продукты.

Дмитрий, я Вас уверяю -- то, что в Ubuntu есть Период, Сроки,
Планы, Блюпринтсы -- вовсе не является обеспечением
предсказуемости.  До сих пор они забивали на эти блюпринтсы с
такой же лёгкостью, с какой MS -- на обещанные в Longhorn фичи.

Я могу более предметно потыкать пальцем касательно LTSP, 
но помню то, что были и другие примеры именно такого же свойства.

А мне как ИТ-менеджеру лучше и удобнее полагаться на таких же
русских разгильдяев, у которых так же ездят сроки, но в итоге 
нужное работает, чем на скалозубых молодцов с приплясом и
бумажками, у которых сроки почти выполняются, зато понять,
где они _наврали_, а где сделали -- очень дорого выходит.

Я не люблю, когда врут, если коротко.  Там врут много.

> Просто обидно слышать разглагольствования о том, что другие
> дистрибутивы нам в подмётки не годятся

Хм, это где?

> когда уже в который раз приходится отказываться от
> действительно хорошего продукта из-за нежелания разработчиков
> решать давно обозначенные и технически, видимо, не очень
> сложные проблемы.

Знаете, а я ведь им баги вешал.  По тому же LTSP.
Предлагаю и Вам обиду претворять в конструктивные багрепорты.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack)

[Michael Shigorin]

On Fri, Aug 17, 2007 at 04:59:54PM +0300, Igor Zubkov wrote:
> А так? Это было сделано ещё вчера.

При этом changelog -- от позавчера.

> http://lists.altlinux.org/pipermail/sisyphus-cybertalk/2007-August/009368.html

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack)

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 733 bytes --]

On Fri, Aug 17, 2007 at 05:05:09PM +0300, Michael Shigorin wrote:
> On Fri, Aug 17, 2007 at 05:14:18PM +0400, Dmitry Derjavin wrote:
> > > И здесь надо говорить о том, где LTSP лучше, у нас или в Ubuntu.
> 
> А это ещё вопрос, кстати.  Они сейчас фактически перехватили его
> разработку (по ходу убив апстрим и всю культуру -- обсуждение и
> решения по факту принимаются на #ltsp, рассылка скорее мёртвая,
> архивы канала обнаружить не удалось).  Причём не стесняясь
> выкидывать совсем то, что предполагается заменить, но сделано
> только наполовину.

Это, кажется, общая проблема.

-- 
А клиента все-таки поменяйте ;) ибо clean 8-bit в subject - это уже даже
спамеры себе не позволяют.
		-- lakostis in community@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

[room] общие проблемы

[Michael Shigorin]

On Fri, Aug 17, 2007 at 06:30:50PM +0400, Pavlov Konstantin wrote:
> > > > И здесь надо говорить о том, где LTSP лучше, у нас или в Ubuntu.
> > А это ещё вопрос, кстати.  Они сейчас фактически перехватили его
> > разработку (по ходу убив апстрим и всю культуру -- обсуждение и
> > решения по факту принимаются на #ltsp, рассылка скорее мёртвая,
> > архивы канала обнаружить не удалось).  Причём не стесняясь
> > выкидывать совсем то, что предполагается заменить, но сделано
> > только наполовину.
> Это, кажется, общая проблема.

И в vlc тоже?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] общие проблемы

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 932 bytes --]

On Fri, Aug 17, 2007 at 05:33:36PM +0300, Michael Shigorin wrote:
> On Fri, Aug 17, 2007 at 06:30:50PM +0400, Pavlov Konstantin wrote:
> > > > > И здесь надо говорить о том, где LTSP лучше, у нас или в Ubuntu.
> > > А это ещё вопрос, кстати.  Они сейчас фактически перехватили его
> > > разработку (по ходу убив апстрим и всю культуру -- обсуждение и
> > > решения по факту принимаются на #ltsp, рассылка скорее мёртвая,
> > > архивы канала обнаружить не удалось).  Причём не стесняясь
> > > выкидывать совсем то, что предполагается заменить, но сделано
> > > только наполовину.
> > Это, кажется, общая проблема.
> 
> И в vlc тоже?

Нет, в ffmpeg.

В vlc, слава богу, не переизобретают велосипедов; скорее наоборот.
Пример тому MPRIS http://wiki.videolan.org/DBus-spec
http://wiki.xmms2.xmms.se/index.php/Media_Player_Interfaces .

-- 
> Пытаюсь запустить под Wine AutoCAD 2000
Успехов
		-- lav in community@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [room] Ubuntu servers hijacked, used to launch attack

[Dmitry Derjavin]

On Fri, Aug 17 2007 at 17:54, Michael Shigorin wrote:

>> Михаил, почему такую личную неприязнь испытываете к коллегам??
>
> Да не неприязнь.  Просто есть вещи, которые показательны.
> И вот к ним-то и неприязнь, поскольку на публику вываливается
> совсем другая пропаганда.

Вы очень точно описали моё отношение к "пропаганде" внедрения решений
на базе ALT, которая "вываливается на публику". Терминология не
раздражает? Нет? Тогда я продолжу.

> Я привожу этот _факт_ как то, что _следует_ упомянуть при попытках
> _впарить_ Ubuntu на сервер.

Тогда будьте, пожалуйста, последовательнее -- не забывайте упомянать о
том, что никто не обещает (не выполняет) поддержку security updates,
каждый раз, когда пытаетесь "впарить" дистрибутив ALT как серверное
решение. Идёт?

-- 
~dd

Re: [room] Ubuntu servers hijacked, used to launch attack

[Michael Shigorin]

On Fri, Aug 17, 2007 at 06:57:36PM +0400, Dmitry Derjavin wrote:
> >> Михаил, почему такую личную неприязнь испытываете к коллегам??
> > Да не неприязнь.  Просто есть вещи, которые показательны.
> > И вот к ним-то и неприязнь, поскольку на публику вываливается
> > совсем другая пропаганда.
> Вы очень точно описали моё отношение к "пропаганде" внедрения
> решений на базе ALT, которая "вываливается на публику".
> Терминология не раздражает? Нет? Тогда я продолжу.

Нет, конечно.  Я же сказал -- к ALT у меня были и есть претензии,
да только тут получается вместе работать над ними, а там -- 
не с кем.  Пробовал.

> > Я привожу этот _факт_ как то, что _следует_ упомянуть при
> > попытках _впарить_ Ubuntu на сервер.
> Тогда будьте, пожалуйста, последовательнее -- не забывайте
> упомянать о том, что никто не обещает (не выполняет) поддержку
> security updates, каждый раз, когда пытаетесь "впарить"
> дистрибутив ALT как серверное решение. Идёт?

Это было одной из причин, по которым в 2005 я плотно посмотрел 
на Ubuntu вблизи.

Да вот только есть особенности, из-за которых у меня серверы
на Master 2.4 времён того же breezy не ломают.

Идёт?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] Серверные дистрибутивы

[Dmitry Derjavin]

On Fri, Aug 17 2007 at 17:59, Igor Zubkov wrote:

>> Скажите, пожалуйста, "гарантированная поддержка обновлениями по
>> безопасности в течение 3-х лет с момента выпуска" действительно
>> выглядит вот так??
>>
>> http://lists.altlinux.org/pipermail/sysadmins/2007-August/005378.html
>
> А так? Это было сделано ещё вчера.
>
> http://lists.altlinux.org/pipermail/sisyphus-cybertalk/2007-August/009368.html
> http://lists.altlinux.org/pipermail/sisyphus-cybertalk/2007-August/009367.html

Так лучше. Но нужны ещё анонсы сами знаете где. cybertalk -- для
роботов: сами пишут, пусть сами и читают. А для людей есть специальное
место. Как думаете, почему Михаил продублировал работу Дмитрия? ;)

-- 
~dd

Re: [room] Серверные дистрибутивы

[Michael Shigorin]

On Fri, Aug 17, 2007 at 07:38:35PM +0400, Dmitry Derjavin wrote:
> >> Скажите, пожалуйста, "гарантированная поддержка обновлениями
> >> по безопасности в течение 3-х лет с момента выпуска"
> >> действительно выглядит вот так??
> >> http://lists.altlinux.org/pipermail/sysadmins/2007-August/005378.html
> > А так? Это было сделано ещё вчера.
> > http://lists.altlinux.org/pipermail/sisyphus-cybertalk/2007-August/009368.html
> > http://lists.altlinux.org/pipermail/sisyphus-cybertalk/2007-August/009367.html
> Так лучше. Но нужны ещё анонсы сами знаете где. cybertalk --
> для роботов: сами пишут, пусть сами и читают.

Да ну.  Я тоже настолько похож на робота? :)

> А для людей есть специальное место.

И пока не слышал анонса, что оно в работе -- последнее сообщение
про security-announce@ было "заглушено".

2 ldv: может, всё-таки получится натравить ещё одного читателя
%changelog на updates/4.0/ и вывод -- в security-announce@?

> Как думаете, почему Михаил продублировал работу Дмитрия? ;)

Потому что мне в любом разе надо было на M24. :)

Собственно, я заметил сообщение на верхушке RSS и отложил обед 
до сборки-проверки-отправки пакетов и сообщения.  Надо было не
так спешить и дождаться ответа Димы на письмо, которое ушло через
несколько секунд после прочтения анонса дырки...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] Серверные дистрибутивы

[Dmitry Derjavin]

On Fri, Aug 17 2007 at 18:05, Michael Shigorin wrote:

>> когда уже в который раз приходится отказываться от действительно
>> хорошего продукта из-за нежелания разработчиков решать давно
>> обозначенные и технически, видимо, не очень сложные проблемы.
>
> Знаете, а я ведь им баги вешал.  По тому же LTSP.
> Предлагаю и Вам обиду претворять в конструктивные багрепорты.

Да ладно, думаю, что у вас была возможность убедиться, что я готов
решать эту проблему конструктивно. Другое дело, что стучаться об стену
неконструктивно в любом случае.

Насчёт обиды -- что за дикие идеи? Мы же с вами не девицы
какие-нибудь.. Просто грешным делом подумал, что вы злорадствуете по
поводу взлома серверов Ubuntu. Ошибся, конечно. Но что же делать --
бывает иногда. ;)

-- 
~dd

Re: [room] Серверные дистрибутивы

[Dmitry Derjavin]

On Fri, Aug 17 2007 at 19:46, Michael Shigorin wrote:

>> cybertalk -- для роботов: сами пишут, пусть сами и читают.
>
> Да ну.  Я тоже настолько похож на робота? :)

Хм.. Видимо, да. ;) Кстати, это многое объясняет! ;)

> последнее сообщение про security-announce@ было "заглушено".

Тогда надо бы убрать её отсюда:
http://www.altlinux.ru/online_help/users_mailing_lists.html

> 2 ldv: может, всё-таки получится натравить ещё одного читателя
> %changelog на updates/4.0/ и вывод -- в security-announce@?

Когда мы с ldv месяц назад это обсуждали, договорились до "может
быть".

-- 
~dd

[room] обиды, баги и прочая ерунда

[Michael Shigorin]

On Fri, Aug 17, 2007 at 07:48:05PM +0400, Dmitry Derjavin wrote:
> On Fri, Aug 17 2007 at 18:05, Michael Shigorin wrote:

[[[
> Просто обидно слышать разглагольствования о том, что другие   
         ^^^^^^
> дистрибутивы нам в подмётки не годятся
Хм, это где?
]]]

> >> когда уже в который раз приходится отказываться от действительно
> >> хорошего продукта из-за нежелания разработчиков решать давно
> >> обозначенные и технически, видимо, не очень сложные проблемы.
> > Знаете, а я ведь им баги вешал.  По тому же LTSP.
> > Предлагаю и Вам обиду претворять в конструктивные багрепорты.
> Да ладно, думаю, что у вас была возможность убедиться, что я
> готов решать эту проблему конструктивно. Другое дело, что
> стучаться об стену неконструктивно в любом случае.

А то.

Кстати, помните newsletter?  Тут вот один человек делал-делал
sisyphus.ru, потом резко бросил всё и ушёл.  Я его пару раз
фиксил немного, но не по существу.  Сейчас liks@ и icesik@ 
как-то разом добрались, и вот первый плод: починили
http://sisyphus.ru/rss :)

> Насчёт обиды -- что за дикие идеи? Мы же с вами не девицы
> какие-нибудь..

Я про подчёркнутое в восстановленном фрагменте квотинга,
сугубо в техническом плане. :)

> Просто грешным делом подумал, что вы злорадствуете по поводу
> взлома серверов Ubuntu.

Да чему ж тут радоваться-то.  Просто предостережение коллегам.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] обиды, баги и прочая ерунда

[Dmitry Derjavin]

On Fri, Aug 17 2007 at 20:06, Michael Shigorin wrote:

> Кстати, помните newsletter?

А как же! Все записи и идеи сохранились. Могу выложить куда-нибудь,
если это ещё кому-то интересно. Хоть на тот же sysiphus.ru.

> Тут вот один человек делал-делал sisyphus.ru, потом резко бросил всё
> и ушёл.

Знакомая ситуация. Сегодня как раз пообщались ещё с одним человеком,
который на Debian перебирается.

> Я его пару раз фиксил немного, но не по существу.  Сейчас liks@ и
> icesik@ как-то разом добрались, и вот первый плод: починили
> http://sisyphus.ru/rss :)

Давайте попробуем всё таки сделать security-announce, а? Насколько я
понимаю, сейчас не хватает только робота, который бы разбирал
changelog-и на предмет всяких CVE, и чётких правил для maintainer-ов
официально поддерживаемых пакетов по оформлению changelog-ов.

ldv месяц назад даже предложил, как именно это технически лучше
организовать, и кого можно попросить написать этого робота (если не
ошибаюсь). А smi всё аккуратненько записал в свою книжечку. Маленькую
такую, с бумажными листочками. :)

Пойдёмте в sysadmins@ ?

>> Насчёт обиды -- что за дикие идеи? Мы же с вами не девицы
>> какие-нибудь..
>
> Я про подчёркнутое в восстановленном фрагменте квотинга,
> сугубо в техническом плане. :)

Фигура речи, типа. ;)

-- 
~dd

Re: [room] Ubuntu servers hijacked, used to launch attack

[Денис Смирнов]

On Fri, Aug 17, 2007 at 01:32:33PM +0400, Dmitry Derjavin wrote:

DD> Если уж предлагаете сделать такой вывод из этой истории,
DD> прокомментируйте, пожалуйста, каким образом из инцидента с
DD> несостоятельными админами следует вывод о непригодности Ubuntu в
DD> качестве серверной платформы. Хотя бы и по сравнению с ALT.

Если взять сегодняшний сервер и оставить на год без обновлений, и то же
самое сделать с убунтой какой -- у меня будут сомнения что через год наш
будет легко взломать. В том же что такое можно будет проделать с убунту у
меня сомнений нет.

Слишком много усилий к нашему серверу прикладывается, чтобы обеспечить
таки security.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Исправлено за три часа _до_ появления этой баги ;)
		-- rider in #9066

Re: [room] Ubuntu servers hijacked, used to launch attack

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 1086 bytes --]

On Sun, Aug 19, 2007 at 10:45:02AM +0400, Денис Смирнов wrote:
> On Fri, Aug 17, 2007 at 01:32:33PM +0400, Dmitry Derjavin wrote:
> 
> DD> Если уж предлагаете сделать такой вывод из этой истории,
> DD> прокомментируйте, пожалуйста, каким образом из инцидента с
> DD> несостоятельными админами следует вывод о непригодности Ubuntu в
> DD> качестве серверной платформы. Хотя бы и по сравнению с ALT.
> 
> Если взять сегодняшний сервер и оставить на год без обновлений, и то же
> самое сделать с убунтой какой -- у меня будут сомнения что через год наш
> будет легко взломать. В том же что такое можно будет проделать с убунту у
> меня сомнений нет.
> 
> Слишком много усилий к нашему серверу прикладывается, чтобы обеспечить
> таки security.

С другой стороны, пару раз мы уже чесали коленки на тему "как бы пробиться
на сервер с отстреленным oom-киллером sshd" :)

-- 
>  ps afux | grep <fakeuser> | grep -v grep | awk '{print $1;}' | uniq
Опять races.                     

Есть тут один способ как-то с этим бороться, kill -1 -9 называется.
		-- ldv in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [room] Ubuntu servers hijacked, used to launch attack

[Денис Смирнов]

On Mon, Aug 20, 2007 at 12:45:54AM +0400, Pavlov Konstantin wrote:

PK> С другой стороны, пару раз мы уже чесали коленки на тему "как бы пробиться
PK> на сервер с отстреленным oom-киллером sshd" :)

daemontools рулез.

Все-таки я постоянно думаю о том что надо взять их код, и переписать с
нуля все что там не было public domain (а там было многое public domain).

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Спасибо, Костя. Моя вера в опенсорс теперь ещё больше "непокобелима" (тм).
		-- avp in sisyphus@

[room] sshd oom-killed

[Michael Shigorin]

On Mon, Aug 20, 2007 at 12:45:54AM +0400, Pavlov Konstantin wrote:
> С другой стороны, пару раз мы уже чесали коленки на тему "как
> бы пробиться на сервер с отстреленным oom-киллером sshd" :)

А я всё думаю -- кого бы упинать нарисовать чего или monit
пропатчить, чтоб основной процесс можно было локнуть в
non-swappable memory...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] sshd oom-killed

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 563 bytes --]

On Mon, Aug 20, 2007 at 12:35:05PM +0300, Michael Shigorin wrote:
> On Mon, Aug 20, 2007 at 12:45:54AM +0400, Pavlov Konstantin wrote:
> > С другой стороны, пару раз мы уже чесали коленки на тему "как
> > бы пробиться на сервер с отстреленным oom-киллером sshd" :)
> 
> А я всё думаю -- кого бы упинать нарисовать чего или monit
> пропатчить, чтоб основной процесс можно было локнуть в
> non-swappable memory...

Учитывая, что все идет к container per task, это уже не так критично :)

-- 
Я почти уверен, что проблема не в этом.
		-- ldv in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [room] sshd oom-killed

[Michael Shigorin]

On Mon, Aug 20, 2007 at 01:42:19PM +0400, Pavlov Konstantin wrote:
> > > С другой стороны, пару раз мы уже чесали коленки на тему "как
> > > бы пробиться на сервер с отстреленным oom-киллером sshd" :)
> > А я всё думаю -- кого бы упинать нарисовать чего или monit
> > пропатчить, чтоб основной процесс можно было локнуть в
> > non-swappable memory...
> Учитывая, что все идет к container per task, это уже не так
> критично :)

sshd на HN при overcommit -- всегда критично.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] sshd oom-killed

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 946 bytes --]

On Mon, Aug 20, 2007 at 12:45:02PM +0300, Michael Shigorin wrote:
> On Mon, Aug 20, 2007 at 01:42:19PM +0400, Pavlov Konstantin wrote:
> > > > С другой стороны, пару раз мы уже чесали коленки на тему "как
> > > > бы пробиться на сервер с отстреленным oom-киллером sshd" :)
> > > А я всё думаю -- кого бы упинать нарисовать чего или monit
> > > пропатчить, чтоб основной процесс можно было локнуть в
> > > non-swappable memory...
> > Учитывая, что все идет к container per task, это уже не так
> > критично :)
> 
> sshd на HN при overcommit -- всегда критично.

Ну ты и сам понимаешь, на что идешь с overcommit, ведь так?

-- 
Ты предлагаешь человеку, который может позволить себе тестировать не самые
широко используемые компоненты Сизифа и тем самым делать их лучше,
прекратить тестирование.  А ведь это нанесёт больший ущерб Сизифу, чем все
ругающие ALT вместе взятые в качестве показателя экспоненты.
		-- ldv in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [room] sshd oom-killed

[Michael Shigorin]

On Mon, Aug 20, 2007 at 01:47:00PM +0400, Pavlov Konstantin wrote:
> > > > > С другой стороны, пару раз мы уже чесали коленки на тему "как
> > > > > бы пробиться на сервер с отстреленным oom-киллером sshd" :)
> > > > А я всё думаю -- кого бы упинать нарисовать чего или monit
> > > > пропатчить, чтоб основной процесс можно было локнуть в
> > > > non-swappable memory...
> > > Учитывая, что все идет к container per task, это уже не так
> > > критично :)
> > sshd на HN при overcommit -- всегда критично.
> Ну ты и сам понимаешь, на что идешь с overcommit, ведь так?

Дык не только я понимаю, но если б ходить не доводилось -- 
f.i бы тоже так тяжко не легло.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] Ubuntu servers hijacked, used to launch attack

[Dmitry Derjavin]

On Sun, Aug 19 2007 at 10:45, Денис Смирнов wrote:

> Если взять сегодняшний сервер и оставить на год без обновлений, и то
> же самое сделать с убунтой какой -- у меня будут сомнения что через
> год наш будет легко взломать.

Не показательно. Это и есть тот самый "физический сервер в вакууме".
Рабочий сервер без обновлений в течение года -- нештатная ситуация.

> В том же что такое можно будет проделать с убунту у меня сомнений
> нет.

Лучше прикиньте, что будет, если те же два сервера в течение того же
года обновлять _только_ из официальных репозиториев, включая
security-updates. В этом случае по поводу Ubuntu у меня тоже сомнений
нет. А с нашим сервером -- очень сложно будет сказать, в каком он
окажется состоянии.

> Слишком много усилий к нашему серверу прикладывается, чтобы
> обеспечить таки security.

Да, в 4.0 ситуация меняется в лучшую сторону. И это радует, конечно.

-- 
~dd

Re: [room] Ubuntu servers hijacked, used to launch attack

[Michael Shigorin]

On Mon, Aug 20, 2007 at 03:11:07PM +0400, Dmitry Derjavin wrote:
> > Если взять сегодняшний сервер и оставить на год без
> > обновлений, и то же самое сделать с убунтой какой -- у меня
> > будут сомнения что через год наш будет легко взломать.
> Не показательно. Это и есть тот самый "физический сервер в
> вакууме".  Рабочий сервер без обновлений в течение года --
> нештатная ситуация.

Или идеальная. :)

> > В том же что такое можно будет проделать с убунту у меня
> > сомнений нет.
> Лучше прикиньте, что будет, если те же два сервера в течение
> того же года обновлять _только_ из официальных репозиториев,
> включая security-updates. В этом случае по поводу Ubuntu у меня
> тоже сомнений нет. А с нашим сервером -- очень сложно будет
> сказать, в каком он окажется состоянии.

У меня есть некоторые практические результаты, вкратце -- Денис 
их озвучил.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] Ubuntu servers hijacked, used to launch attack

[Dmitry Derjavin]

On Mon, Aug 20 2007 at 16:13, Michael Shigorin wrote:

>> Лучше прикиньте, что будет, если те же два сервера в течение
>> того же года обновлять _только_ из официальных репозиториев,
>> включая security-updates. В этом случае по поводу Ubuntu у меня
>> тоже сомнений нет. А с нашим сервером -- очень сложно будет
>> сказать, в каком он окажется состоянии.
>
> У меня есть некоторые практические результаты, вкратце -- Денис их
> озвучил.

Просто замечательно, если это действительно так! У меня есть
результаты примерно за 2004-2005 год (по нашему серверу, конечно).
Они ужасны. Осталось убедиться, что ситуация действительно меняется.

-- 
~dd

Re: [room] Ubuntu servers hijacked, used to launch attack

[Michael Shigorin]

On Mon, Aug 20, 2007 at 10:57:42PM +0400, Dmitry Derjavin wrote:
> >> Лучше прикиньте, что будет, если те же два сервера в течение
> >> того же года обновлять _только_ из официальных репозиториев,
> >> включая security-updates. В этом случае по поводу Ubuntu у
> >> меня тоже сомнений нет. А с нашим сервером -- очень сложно
> >> будет сказать, в каком он окажется состоянии.
> > У меня есть некоторые практические результаты, вкратце --
> > Денис их озвучил.
> Просто замечательно, если это действительно так! У меня есть
> результаты примерно за 2004-2005 год (по нашему серверу,
> конечно).  Они ужасны. Осталось убедиться, что ситуация
> действительно меняется.

На одной из систем у меня с год, если не больше, болтается
замороженный процесс uselib24 -- кому-то на хостинге через
дырявый скрипт пытались всадить руткит.  Оно немного в контейнере
оказалось, правда, ну и вообще не сработало.

А потом про такие штуки мне начал стучать сделанный и
установленный apache-honeypot. ;)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[room] M24

[Michael Shigorin]

On Mon, Aug 20, 2007 at 10:33:29PM +0300, I wrote:
> > > У меня есть некоторые практические результаты, вкратце --
> > > Денис их озвучил.
> > Просто замечательно, если это действительно так! У меня есть
> > результаты примерно за 2004-2005 год (по нашему серверу,
> > конечно).  Они ужасны. Осталось убедиться, что ситуация
> > действительно меняется.
> На одной из систем у меня с год, если не больше, болтается
> замороженный процесс uselib24

Отболтался -- час тому по обоим БП пропало питание. :)
С прошлой перезагрузки прошло около двух лет.  M24+updates.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[room] ссылки по CVE в %changelog

[Michael Shigorin]

(упс, уже в =postponed нашёл)

On Fri, Aug 17, 2007 at 10:56:13PM +0400, Dmitry Derjavin wrote:
> > Кстати, помните newsletter?
> А как же! Все записи и идеи сохранились. Могу выложить куда-нибудь,
> если это ещё кому-то интересно. Хоть на тот же sysiphus.ru.

Если что не было опубликовано -- выложите.  Хоть на тот же
freesource.info.

> > Тут вот один человек делал-делал sisyphus.ru, потом резко
> > бросил всё и ушёл.
> Знакомая ситуация. Сегодня как раз пообщались ещё с одним
> человеком, который на Debian перебирается.

И то дело.  Главное, чтоб не сильно скрепя сердце.

> > Я его пару раз фиксил немного, но не по существу.  Сейчас
> > liks@ и icesik@ как-то разом добрались, и вот первый плод:
> > починили http://sisyphus.ru/rss :)
> Давайте попробуем всё таки сделать security-announce, а?

Как понимаю, Дима сейчас несколько занят.  Будет в пределах
досягаемости -- переспрошу.

> Насколько я понимаю, сейчас не хватает только робота, который
> бы разбирал changelog-и на предмет всяких CVE, и чётких правил
> для maintainer-ов официально поддерживаемых пакетов по
> оформлению changelog-ов.

Есть такая мысль (не уверен, что переписка была ссылабельной).

> ldv месяц назад даже предложил, как именно это технически лучше
> организовать, и кого можно попросить написать этого робота
> (если не ошибаюсь). А smi всё аккуратненько записал в свою
> книжечку. Маленькую такую, с бумажными листочками. :)
> Пойдёмте в sysadmins@ ?

Можно, только это ж не админский вопрос.  Бишь и здесь нормально,
если "поговорить".

Вот если со скриптами, то можно начать их прикручивание или около 
alt.linux.kiev.ua (благо зеркало рядом), или около sisyphus.ru
(аналогично).

О!  А не хотите повесить фичреквест на пакет prometeus?
Им сейчас опять занялись, и туда тоже уместно.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] ссылки по CVE в %changelog

[Avramenko Andrew]

> О!  А не хотите повесить фичреквест на пакет prometeus?
> Им сейчас опять занялись, и туда тоже уместно.

Конечно же повесьте. Желательно с подробным описанием чего именно надо, 
что сами про это думаете, кто и что про это говорил. Чем быстрее Вы 
этого напишите, тем быстрее я это сделаю :-)


--
С уважением,
Андрей

Re: [room] sshd oom-killed

[Денис Смирнов]

On Mon, Aug 20, 2007 at 12:51:53PM +0300, Michael Shigorin wrote:

MS> Дык не только я понимаю, но если б ходить не доводилось -- 
MS> f.i бы тоже так тяжко не легло.

Кстати о птичках -- если бы были для разных софтин из коробки хорошие
лимиты + был бы sshd на daemontools + была бы утилита, которая гасит
взбесившиеся VE (иногда надо разрешать VE брать памяти больше лимита но на
небольшое количество времени, а если долго жрет память, то гасить) то f.i
не сдох бы вообще.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Автором программы были выявлены недокументированные возможности...

Re: [room] Ubuntu servers hijacked, used to launch attack

[Денис Смирнов]

On Mon, Aug 20, 2007 at 03:11:07PM +0400, Dmitry Derjavin wrote:

>> Если взять сегодняшний сервер и оставить на год без обновлений, и то
>> же самое сделать с убунтой какой -- у меня будут сомнения что через
>> год наш будет легко взломать.
DD> Не показательно. Это и есть тот самый "физический сервер в вакууме".
DD> Рабочий сервер без обновлений в течение года -- нештатная ситуация.

Напомню что одна из ошибок в sshd которая была исправлена ldv@ _годы_
назад недавно у всех вылезла. Столько времени была security ошибка в sshd,
и если ldv@ не один такой умный, то она возможно эти годы
_эксплуатировалась_.

Надеюсь не надо объяснять что с момента обнаружения ошибки разработчиками
до момента выполнения обновления на конкретной машине часто проходят
дни?

>> В том же что такое можно будет проделать с убунту у меня сомнений
>> нет.
DD> Лучше прикиньте, что будет, если те же два сервера в течение того же
DD> года обновлять _только_ из официальных репозиториев, включая
DD> security-updates. В этом случае по поводу Ubuntu у меня тоже сомнений
DD> нет. А с нашим сервером -- очень сложно будет сказать, в каком он
DD> окажется состоянии.

Я скажу страшную вещь -- я Сизифу доверюсь больше чем Ubuntu. А в случае с
Server 4.0 я достаточно хорошо знаю release manager'а чтобы ему доверять,
и чтобы быть увереным что на некоторых машинках я могу даже apt-get
upgrade поставить в cron без опасности для жизни.

Наиболее критичные компоненты у нас поддерживаютсяя одним человеком,
который является достаточно параноидальным чтобы можно было не бояться что
он поленится сделать security update. Кроме того у нас достаточно хорошая
команда, чтобы люди друг-другу активно помогали. Вон на днях Миша Шигорин
из nginx initscript сделал сказку.

Связано это с тем, что большая часть пакетов в сизифе _активно
используется членами team_. Дистрибутивы где поддержка организуется в
основном за зарплату может и обеспечивает большую предсказуемость, но,
увы, это предсказуемо низкое качество. А здесь хоть и менее предсказуемо,
зато качество выше.

>> Слишком много усилий к нашему серверу прикладывается, чтобы
>> обеспечить таки security.
DD> Да, в 4.0 ситуация меняется в лучшую сторону. И это радует, конечно.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Присылайте патчи.
		-- ldv in devel@

Re: [room] Ubuntu servers hijacked, used to launch attack

[Денис Смирнов]

On Mon, Aug 20, 2007 at 10:57:42PM +0400, Dmitry Derjavin wrote:

DD> Просто замечательно, если это действительно так! У меня есть
DD> результаты примерно за 2004-2005 год (по нашему серверу, конечно).
DD> Они ужасны. Осталось убедиться, что ситуация действительно меняется.

Я помню историю с прекращением обновлений к Мастеру. Сейчас ситуация
несколько лучше -- branch 4.0 сделали достаточно интересным чтобы на нем
базировали свои решения многие. Так что в отличии от того же branch 3.0 он
будет обновляться достаточно хорошо и долго. Потому как он нужен самим
разработчиками, а не только юзерам.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Народная примета: Если пpогpаммист в 09.00 утpа на pаботе, значит он там ночевал...

Re: [room] sshd oom-killed

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 497 bytes --]

On Sun, Sep 02, 2007 at 01:13:17PM +0400, Денис Смирнов wrote:

> была бы утилита, которая гасит взбесившиеся VE (иногда надо разрешать VE
> брать памяти больше лимита но на небольшое количество времени, а если
> долго жрет память, то гасить)

Это тебе в Virtuozzo :)

-- 
Это я надеюсь теперь всё поправит мантейнер Qt, которому я на днях
рассказал всё тайное знание касательно организации драйверов интерфейса.
Насколько я знаю, он уже приступил к опытам ;)
		-- inger in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [room] Ubuntu servers hijacked, used to launch attack

[Беляев В.Н.]

Hello Денис,

ДС> Я скажу страшную вещь -- я Сизифу доверюсь больше чем Ubuntu.

Аргументы, плиз.

ДС> Связано это с тем, что большая часть пакетов в сизифе _активно
ДС> используется членами team_.

? не понял логики. Это само собой разумеется, поскольку они их и
кладут туда.

ДС> А здесь хоть и менее предсказуемо, зато качество выше.

??

>>> Слишком много усилий к нашему серверу прикладывается, чтобы
>>> обеспечить таки security.
DD>> Да, в 4.0 ситуация меняется в лучшую сторону. И это радует, конечно.

Нельзя ли услышать поподробнее про разницу между Alt Linux и Ubantu в
данном разрезе?

-- 
С уважением, Беляев
jabber: w_n_b@jabber.ru
ICQ: 119181289

Re: [room] Ubuntu servers hijacked, used to launch attack

[Денис Смирнов]

On Sun, Sep 02, 2007 at 07:03:07PM +0600, Беляев В.Н. wrote:

ДС>> Я скажу страшную вещь -- я Сизифу доверюсь больше чем Ubuntu.
БВН> Аргументы, плиз.

Я их приводил уже раз сто. Потому что здесь слово "security" это не пустой
звук.

ДС>> Связано это с тем, что большая часть пакетов в сизифе _активно
ДС>> используется членами team_.
БВН> ? не понял логики. Это само собой разумеется, поскольку они их и
БВН> кладут туда.

В случае с RedHat и SuSE по крайней мере туда их кладут потому что туда
кто-то должен этот пакет положить. Потому что работа такая.

>>>> Слишком много усилий к нашему серверу прикладывается, чтобы
>>>> обеспечить таки security.
DD>>> Да, в 4.0 ситуация меняется в лучшую сторону. И это радует, конечно.
БВН> Нельзя ли услышать поподробнее про разницу между Alt Linux и Ubantu в
БВН> данном разрезе?

Архив рассылки. Также рекомендую почитать devel@ с тем чтобы понять какие
вопросы решаются, из тех поторые в других дистрибутивах даже не ставятся.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Вряд ли стоит впадать в крайности типа того, как всё пережёвывается
в Debian.
		-- ldv in devel@

Re: [room] Ubuntu servers hijacked, used to launch attack

[Michael Shigorin]

On Mon, Sep 03, 2007 at 11:49:22PM +0400, Денис Смирнов wrote:
> ДС>> Я скажу страшную вещь -- я Сизифу доверюсь больше чем Ubuntu.
> БВН> Аргументы, плиз.
> Я их приводил уже раз сто. Потому что здесь слово "security"
> это не пустой звук.

Я себе завёл приводилку здесь:
http://wiki.opennet.ru/DistroImhoMike
(выросла из дискуссий на опеннетовском же форуме
и там и применяется)

Рекомендую поступить схожим образом, когда написал
письмо, прочитал и решил, что добавить нечего ;-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] sshd oom-killed

[Денис Смирнов]

On Sun, Sep 02, 2007 at 01:47:34PM +0400, Pavlov Konstantin wrote:

>> была бы утилита, которая гасит взбесившиеся VE (иногда надо разрешать VE
>> брать памяти больше лимита но на небольшое количество времени, а если
>> долго жрет память, то гасить)
PK> Это тебе в Virtuozzo :)

У меня нет такого мешка с  деньгами :)

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
> Что такое "повесить PR"?
Лишить жизни рекламщика?
		-- lav in sisyphus@

Re: [room] sshd oom-killed

[Michael Shigorin]

On Tue, Sep 11, 2007 at 12:41:04AM +0400, Денис Смирнов wrote:
> >> была бы утилита, которая гасит взбесившиеся VE (иногда надо
> >> разрешать VE брать памяти больше лимита но на небольшое
> >> количество времени, а если долго жрет память, то гасить)
> PK> Это тебе в Virtuozzo :)
> У меня нет такого мешка с  деньгами :)

BTW http://conference.osdn.org.ua/ru/report/list/ :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [room] sshd oom-killed

[Igor Zubkov]

13.09.07, Michael Shigorin написал(а):
> On Tue, Sep 11, 2007 at 12:41:04AM +0400, Денис Смирнов wrote:
> > >> была бы утилита, которая гасит взбесившиеся VE (иногда надо
> > >> разрешать VE брать памяти больше лимита но на небольшое
> > >> количество времени, а если долго жрет память, то гасить)
> > PK> Это тебе в Virtuozzo :)
> > У меня нет такого мешка с  деньгами :)
>
> BTW http://conference.osdn.org.ua/ru/report/list/ :)

Хороший список. Надо будет обязательно приехать.

-- 
icesik