From: "Dmitry V. Levin" <ldv@alt-linux.org>
To: Linux-Mandrake RE Mailing List <mandrake-russian@altlinux.ru>
Subject: Re: [mdk-re] protect system
Date: Mon Apr 16 22:58:11 2001
Message-ID: <20010416230048.A16029@ldv.office.alt-linux.org> (raw)
In-Reply-To: <20010403004301.0a6a39a2.is13@inbox.ru>; from is13@inbox.ru on Tue, Apr 03, 2001 at 12:43:01AM +0600
[-- Attachment #1: Type: text/plain, Size: 3255 bytes --]
On Tue, Apr 03, 2001 at 12:43:01AM +0600, Igor Solovyov wrote:
> Вопрос к разработчикам:
>
> На сайте altlinux написано:
>
> "...но и как сервер широкого применения с оригинальной системой защиты."
>
> Где узнать подробности об этой системе?
Соображения о том, зачем нужно думать о вопросах безопасности, а также
основные правила, рекомендуемые нами для формирования безопасного стиля
работы в unix, приведены в главе 6 "Краткого руководства" к Spring 2001.
Концепция безопасности дистрибутива базируется на следующих основных
направлениях:
+ Выбор и аудит ПО, реализующего базовые и основные серверные функции
системы. Из всех пакетов, реализующих сходную функциональность,
предпочтение отдается тем, которые разработаны более грамотно с точки
зрения безопасности. Именно такие пакеты предлагаются для установки по
умолчанию. Все пакеты этого класса подвергаются более тщательному анализу
на предмет присутствия в коде разного рода уязвимостей.
+ Конфигурация большинства пакетов составлена таким образом, чтобы
обеспечить наиболее безопасный режим функционирования. Это включает в
себя, в частности, уменьшение и изолирование прав доступа, а также отказ
от потенциально опасных возможностей (которые опытный администратор может
настроить самостоятельно).
+ В направлении разграничения прав доступа впервые реализована как
неотъемлемая часть дистрибутива технология создания и поддержки т.н.
"chrooted environments" - изолированных сред выполнения. Влияние программ,
работающие в таких средах, на другие программы и систему в целом,
минимально; даже в случае обнаружения уязвимости программа, запущенная в
такой среде, не представляет угрозы для безопасности остальных компонент
системы. В Spring 2001 следующие серверы работают chrooted: postfix,
bind, MySQL, junkbuster. С помощью отработанной технологии в дальнейшем
планируется chroot'изация других серверов, входящих в дистрибутив.
+ В состав дистрибутива все еще входит большой обьем ПО, не подвергнутого
столь же тщательному аудиту, что и базовые компоненты системы. Чтобы
свести к минимуму риски, возникающие при использовании такого софта,
применяются меры по общей защите системы, включая т.н. "kernel hardening"
на основе OpenWall-патча ядра, использование закрытых личных каталогов для
хранения временных файлов и безопасных методов их создания с целью
избежания т.н. "race conditions", впервые включен crypt_blowfish в качестве
основного алгоритма хеширования паролей, и др.
+ В дистрибутив интегрированы современные средства, обеспечивающие
безопасное хранение (Kernel International Crypto patch) и передачу
информации (Secure Shell, Gnu Privacy Guard). Мы рекомендуем их
использование во всех случаях, когда встает вопрос безопасности данных.
P.S. Поскольку это первая редакция документа, есть вероятность того, что я
что-то забыл. В таком случае обязуюсь внести дополнения в очередную
редакцию.
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.ru/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
prev parent reply other threads:[~2001-04-16 22:58 UTC|newest]
Thread overview: 2+ messages / expand[flat|nested] mbox.gz Atom feed top
2001-04-02 22:37 Igor Solovyov
2001-04-16 22:58 ` Dmitry V. Levin [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20010416230048.A16029@ldv.office.alt-linux.org \
--to=ldv@alt-linux.org \
--cc=mandrake-russian@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git