ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [mdk-re] protect system
@ 2001-04-02 22:37 Igor Solovyov
  2001-04-16 22:58 ` Dmitry V. Levin
  0 siblings, 1 reply; 2+ messages in thread
From: Igor Solovyov @ 2001-04-02 22:37 UTC (permalink / raw)
  To: Mandrake-russian

Hi!

Вопрос к разработчикам:

На сайте altlinux написано:

"...но и как сервер широкого применения с оригинальной системой защиты."

Где узнать подробности об этой системе?

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia



^ permalink raw reply	[flat|nested] 2+ messages in thread

* Re: [mdk-re] protect system
  2001-04-02 22:37 [mdk-re] protect system Igor Solovyov
@ 2001-04-16 22:58 ` Dmitry V. Levin
  0 siblings, 0 replies; 2+ messages in thread
From: Dmitry V. Levin @ 2001-04-16 22:58 UTC (permalink / raw)
  To: Linux-Mandrake RE Mailing List

[-- Attachment #1: Type: text/plain, Size: 3255 bytes --]

On Tue, Apr 03, 2001 at 12:43:01AM +0600, Igor Solovyov wrote:
> Вопрос к разработчикам:
> 
> На сайте altlinux написано:
> 
> "...но и как сервер широкого применения с оригинальной системой защиты."
> 
> Где узнать подробности об этой системе?

Соображения о том, зачем нужно думать о вопросах безопасности, а также
основные правила, рекомендуемые нами для формирования безопасного стиля 
работы в unix, приведены в главе 6 "Краткого руководства" к Spring 2001.

Концепция безопасности дистрибутива базируется на следующих основных
направлениях:
+ Выбор и аудит ПО, реализующего базовые и основные серверные функции
системы. Из всех пакетов, реализующих сходную функциональность,
предпочтение отдается тем, которые разработаны более грамотно с точки
зрения безопасности. Именно такие пакеты предлагаются для установки по
умолчанию. Все пакеты этого класса подвергаются более тщательному анализу
на предмет присутствия в коде разного рода уязвимостей.

+ Конфигурация большинства пакетов составлена таким образом, чтобы
обеспечить наиболее безопасный режим функционирования. Это включает в
себя, в частности, уменьшение и изолирование прав доступа, а также отказ
от потенциально опасных возможностей (которые опытный администратор может
настроить самостоятельно).

+ В направлении разграничения прав доступа впервые реализована как
неотъемлемая часть дистрибутива технология создания и поддержки т.н.
"chrooted environments" - изолированных сред выполнения. Влияние программ,
работающие в таких средах, на другие программы и систему в целом,
минимально; даже в случае обнаружения уязвимости программа, запущенная в
такой среде, не представляет угрозы для безопасности остальных компонент
системы. В Spring 2001 следующие серверы работают chrooted: postfix,
bind, MySQL, junkbuster. С помощью отработанной технологии в дальнейшем
планируется chroot'изация других серверов, входящих в дистрибутив.

+ В состав дистрибутива все еще входит большой обьем ПО, не подвергнутого
столь же тщательному аудиту, что и базовые компоненты системы. Чтобы
свести к минимуму риски, возникающие при использовании такого софта,
применяются меры по общей защите системы, включая т.н. "kernel hardening"
на основе OpenWall-патча ядра, использование закрытых личных каталогов для
хранения временных файлов и безопасных методов их создания с целью
избежания т.н. "race conditions", впервые включен crypt_blowfish в качестве
основного алгоритма хеширования паролей, и др.

+ В дистрибутив интегрированы современные средства, обеспечивающие
безопасное хранение (Kernel International Crypto patch) и передачу
информации (Secure Shell, Gnu Privacy Guard). Мы рекомендуем их
использование во всех случаях, когда встает вопрос безопасности данных.


P.S. Поскольку это первая редакция документа, есть вероятность того, что я
что-то забыл. В таком случае обязуюсь внести дополнения в очередную
редакцию.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 2+ messages in thread

end of thread, other threads:[~2001-04-16 22:58 UTC | newest]

Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2001-04-02 22:37 [mdk-re] protect system Igor Solovyov
2001-04-16 22:58 ` Dmitry V. Levin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git