From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sun, 2 Sep 2007 13:21:55 +0400 From: =?koi8-r?B?5MXOydMg883J0s7P1w==?= To: =?koi8-r?B?y9XM2NTV0s7ZyiDPxtTP0MnL?= Message-ID: <20070902092155.GC20575@mw.local.seiros.ru> References: <20070816180100.GG24364@osdn.org.ua> <87odh6o6a6.fsf@asia.home.dd> <20070819064502.GA25833@mw.local.seiros.ru> <87r6lylaus.fsf@asia.home.dd> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <87r6lylaus.fsf@asia.home.dd> Subject: Re: [room] Ubuntu servers hijacked, used to launch attack X-BeenThere: smoke-room@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: =?koi8-r?b?y9XM2NTV0s7ZyiDPxtTP0MnL?= List-Id: =?koi8-r?b?y9XM2NTV0s7ZyiDPxtTP0MnL?= List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 02 Sep 2007 09:21:53 -0000 Archived-At: List-Archive: On Mon, Aug 20, 2007 at 03:11:07PM +0400, Dmitry Derjavin wrote: >> Если взять сегодняшний сервер и оставить на год без обновлений, и то >> же самое сделать с убунтой какой -- у меня будут сомнения что через >> год наш будет легко взломать. DD> Не показательно. Это и есть тот самый "физический сервер в вакууме". DD> Рабочий сервер без обновлений в течение года -- нештатная ситуация. Напомню что одна из ошибок в sshd которая была исправлена ldv@ _годы_ назад недавно у всех вылезла. Столько времени была security ошибка в sshd, и если ldv@ не один такой умный, то она возможно эти годы _эксплуатировалась_. Надеюсь не надо объяснять что с момента обнаружения ошибки разработчиками до момента выполнения обновления на конкретной машине часто проходят дни? >> В том же что такое можно будет проделать с убунту у меня сомнений >> нет. DD> Лучше прикиньте, что будет, если те же два сервера в течение того же DD> года обновлять _только_ из официальных репозиториев, включая DD> security-updates. В этом случае по поводу Ubuntu у меня тоже сомнений DD> нет. А с нашим сервером -- очень сложно будет сказать, в каком он DD> окажется состоянии. Я скажу страшную вещь -- я Сизифу доверюсь больше чем Ubuntu. А в случае с Server 4.0 я достаточно хорошо знаю release manager'а чтобы ему доверять, и чтобы быть увереным что на некоторых машинках я могу даже apt-get upgrade поставить в cron без опасности для жизни. Наиболее критичные компоненты у нас поддерживаютсяя одним человеком, который является достаточно параноидальным чтобы можно было не бояться что он поленится сделать security update. Кроме того у нас достаточно хорошая команда, чтобы люди друг-другу активно помогали. Вон на днях Миша Шигорин из nginx initscript сделал сказку. Связано это с тем, что большая часть пакетов в сизифе _активно используется членами team_. Дистрибутивы где поддержка организуется в основном за зарплату может и обеспечивает большую предсказуемость, но, увы, это предсказуемо низкое качество. А здесь хоть и менее предсказуемо, зато качество выше. >> Слишком много усилий к нашему серверу прикладывается, чтобы >> обеспечить таки security. DD> Да, в 4.0 ситуация меняется в лучшую сторону. И это радует, конечно. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- Присылайте патчи. -- ldv in devel@