[Comm] Re: Проблемы с безопасностью дистрибутивов

[Comm] Re: Проблемы с безопасностью дистрибутивов

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 4136 bytes --]

On Sat, Dec 10, 2005 at 04:31:34PM +0300, Eugene Seppel wrote:
> Во-первых, хочется обратить внимание, что список рассылки
> Security-announce мёртв. Последние сообщения в нём (согласно
> http://lists.altlinux.org/pipermail/security-announce/ ) датируются маем
> этого года. С тех пор вышло огромное количество исправлений
> критических ошибок, но пользователи не были уведомлены.

На базе в курсе; насколько знаю, технически он заглушен.

> На мой взгляд такая ситуация недопустима.

Недопустимо другое -- если на lists.altlinux.org и/или
altlinux.ru он фигурирует как действующий.

> Скажу более, ситуация с ошибкой 8294 из Багзиллы (выполнение
> произвольного кода из под другого пользователя путём изменения
> раскладки клавиатуры), когда ошибка не была исправлена в
> течении месяца, несмотря на скорый выход исправления в
> Mainstream так же недопустима.

Это как раз некритичная проблема.

> Недавно в СПбГУ приезжал дяденька из Microsoft, который,
> приводя подобные примеры из различных дистрибутивов Linux,
> рассказывал о существенных проблемах безопасности модели
> разработки OpenSource дистрибутивов.

Дяденька если не дурак, то придуривается; надёргать примеров
подобным образом -- это всё, на что такие деятели способны.

> С глубочайшим сожалением, несмотря на долгие споры с тем
> господином, должен заметить, что он кое в чём был прав.

Кое в чём мы все правы и неправы...

> Редмондская компания по крайней мере выпускает бюллетени и
> апдейты. Которые чаще всего выходят в срок.

Вы не знаете их сроки, судя по всему.  Подпишитесь на
bugtraq@securityfocus.com и узнайте что-то более близкое 
к истине по этим самым срокам.

Вкратце -- подумайте, кому выгодны месячные бандлы:
администраторам и пользователями или PR-манагерам MS.
(мол, "у нас исправлений меньше надо")

> Об исправленных уязвимостях они сообщают пользователям,
> подписавшимся на рассылку. (Всё, щас заклюют:) Желающим могу
> дать полученные мной от него статистические материалы на
> проверку.

Бессмысленно.  Объясняю, почему: грош цена статистике, которая
уравнивает в весу ("адзын штук") удалённый system level access
и мелкую локальную проблему вроде вышеупомянутой (hint: доступ
к локальной консоли -- это практически неотвратимый полный
локальный доступ, избежать возможности которого стоит как минимум
криптования локальных дисков).

Также они уравнивают количество дырок в своём эээ... продукте
и продуктах Linux-вендоров, несопоставимые по функциональности
(неоднозначно, но сравнивать функционал RHEL/SLES или ALT/Debian
и win2k3 server -- действительно бессмысленно один-к-одному).

Улавливаете?

> На мой взгляд, дистрибутив, продаваемый в коробке, не должен
> быть уделом только хакеров. Человек, купивший и поставивший его
> на сервер должен быть в курсе проблем с безопасностью и
> получать вовремя updates.

Да, это один из главных доводов против ALT в коробках.  
По крайней мере у меня.

> Замечу ещё, что по-умолчанию в sources.list прописан для
> Мастера репозиторий contribs, содержащий пакеты, дающие
> локальным пользователям права root. (
> https://bugzilla.altlinux.org/show_bug.cgi?id=8588)

Да.

> ALTLinux не поддерживает исправления безопасности для contribs,
> но пользователь в системе по-умолчанию может поставить оттуда
> пакеты, так и не поняв, откуда  именно он поставил пакеты,
> почему этого нельзя делать и что он выкопал себе могилу.

Это лучше, чем не давать возможности устанавливать пакеты оттуда.
Если не догадаетесь, почему -- переспросите.

> Мне кажется, что необходимо изменить сложившуюся ситуацию,
> пусть и при помощи уменьшения числа пакетов.

В _поддерживаемой_ их части.  Или увеличения количества
человеко-часов, которые получается выделить на поддержку
обновлениями по безопасности.

> Сообщество должно быть заинтерисовано в качественном
> программном продукте.

Сообщество в курсе; если хотите, можете присоединиться к работе
над обновлениями.  Фо^H^HПодробности, как водится -- письмом.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Проблемы с безопасностью дистрибутивов

[Michael Shigorin]

On Sat, Dec 10, 2005 at 10:20:11PM +0300, Eugene Seppel wrote:
> > > Скажу более, ситуация с ошибкой 8294 из Багзиллы
> > > (выполнение произвольного кода из под другого пользователя
> > > путём изменения раскладки клавиатуры), когда ошибка не была
> > > исправлена в течении месяца, несмотря на скорый выход
> > > исправления в Mainstream так же недопустима.
> > Это как раз некритичная проблема.
> На сервере -- бесспорно.  Но только не в компьютерной
> лаборатории с IT-студентами как у меня:) Экзотический конечно
> случай.

Не экзотический, но ещё раз -- некритична.  Они точно так же
могут подсмотреть r00t passwd из-за плеча или правильным образом
загрузить линукс (если не "хакнув" незапароленный загрузчик,
то со своего livecd в случае наличия такой возможности).

(нет, я проверил и оно сработало; да, понимаю; но)

> По поводу всех приведённых Вами доводов о Microsoft -- примерно
> Ваши слова я и говорил дяденьке. Ну фанатик он. И его не
> переспорить.

Догадываюсь; здесь озвучил скорее для архива.

> Просто хочу сказать, что всем есть чему у неё поучиться. Хотя
> бы тому, как она учится на ошибках.

На этих они пока ничему толком не научились, боюсь.
Oh well.  Самим бы тут учиться, желательно на чужих.

> > Да, это один из главных доводов против ALT в коробках.
> > По крайней мере у меня.
> Но пользователям нужен дистр в коробках, ну или ОЕМ. Чтобы
> поставить на production server. А хакерам нужен Сизиф.
> Или, в настоящее время, ALT -- только для хакеров?

Боюсь, это скорее так.  Утверждать обратное буду рад, но сейчас 
с чистым сердцем не могу.  Возможно, даже в этом году ситуация
изменится, но сейчас -- скорее так.

> > ALTLinux не поддерживает исправления безопасности для contribs,
> > > но пользователь в системе по-умолчанию может поставить оттуда
> > > пакеты, так и не поняв, откуда  именно он поставил пакеты,
> > > почему этого нельзя делать и что он выкопал себе могилу.
> > Это лучше, чем не давать возможности устанавливать пакеты оттуда.
> > Если не догадаетесь, почему -- переспросите.
> Не догадался. По-моему всё-таки ставить пакеты от туда должен
> только тот, кто твёрдо понимает что делает.

Что делать остальным?  Воспользоваться совсем не поддерживаемыми
тарболами при возникновении нужды в программах?..

Я было подумал и согласился с Вами, потом ещё подумал и решил,
что всё-таки не соглашусь.  "Не так" -- лучше только для систем,
по которым SLA положено подписывать.

> Собственно вопрос -- по поводу работы пользователей над
> обновлениями: я правильно понимаю, что мы, как пользователи,
> должны присылать патчи для srpm?

Можете приложить руку такими способами:

- повешение багов по замеченным проблемам в bugzilla.altlinux.org;
- при желании и возможности добавление туда же [ссылок на] патчей
  (может сильно облегчить работу тому, кто будет её делать, или
  послужить стимулом выпустить обновление, на которое иначе бы
  не хватило энтузиазма);
- тестирование уже опубликованных в рамках backports обновлений,
  анонсированных в backports@ как имеющие отношение к безопасности;
- стать участником команды и принять непосредственное участие
  в процессе.

> Большое спасибо за комментарии.

Большое не за что... на самом деле не сильно весело, но когда
жизнь была лёгкой.  Боремся покамест, если продукт и сообщество
Вам интересней, чем в других местах -- welcome.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: Проблемы с безопасностью дистрибутивов

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 4211 bytes --]

On Tue, Dec 13, 2005 at 11:46:18AM +0300, Eugene Seppel wrote:
> > Что делать остальным?  Воспользоваться совсем не
> > поддерживаемыми тарболами при возникновении нужды в
> > программах?..
> И всё-таки позвольте ещё раз с Вами не согласиться.

YW :)

> Программы из тарболов поддерживаются своими разработчиками, или
> не поддерживаются. И человек, который ставит тарболл понимает,
> что он делает.  А если пакет из Мастера, пусть и contribs -- то
> сразу возникает вера во бдительного маинтайнера, и что всё
> хорошо.

Повторюсь: это вопрос **оправданности ожиданий**.  Организационный.

Вы же предлагаете решать его техническими средствами ("а если
не будут брать -- отключим газ" (c)).

Я давно предлагаю писать большими буквами во избежание
недоразумений -- "contrib НЕ ПОДДЕРЖИВАЕТСЯ обновлениями 
по безопасности, то есть не рассчитывайте на это".  И содержу
по крайней мере один vserver, где contrib выключен (хотя,
кажется, пару раз подключался для конкретных пакетов; в такой
ситуации я отдаю себе отчёт, что при необходимости выкачу по
ним обновления сам и это есть часть моего административного
решения в данном случае).

Наверное, можно подумать о таком выходе: для серверной установки
contrib по умолчанию не подключен, для настольной -- подключен,
для custom -- выводится пояснение и задаётся вопрос в явном виде.

2 devel: ы?

---

> Я бы, всё-же, осмелился предложить принять какое-нибуть решение
> по поводу Middleman. Недопустимо иметь такие, с позволения
> сказать, прокси-сервера.

Примите.  Например, методом миграции с него с озвучиванием
причины здесь. (вторая часть выполнена ;)

> Когда я понял суть проблемы с ним, я чуть не впал в панику,
> вспомнив про свой сервак с пользователями, которым я мало
> доверяю, и сразу стал проверять конфиги прокси на сервере.
> Я бы с радостью написал патчи к middleman и послал маинтайнеру,
> да вот только времени в этом месяце не будет:(

Воот.  При этом пока Вы -- самый заинтересованный, видимо.
А остальные пользуют вполне активно поддерживаемый squid.

---

> Это всё к тому, что если бы был список рассылки
> security-announce, можно было бы в него написать, что дескать
> есть такая проблема и она решается. Но пока -- сделайте так-то.

Заменителем bugtraq@ и прочих ресурсов общего плана список
анонсов рекомендаций по безопасности дистрибутива не является и
быть не может.  Опять-таки, к этому выводу пришёл примерно через
такие же размышления, что и Вы; и через эту точку -- тоже.

Если хотите, можете подумать насчёт выделения времени для
отслеживания публикации информации о проблемах, проверки
применимости к нашим пакетам (по крайней мере на уровне
"есть, и версия вроде дырявая") и анонсирования здесь или 
в ином списке рассылки (про security-announce@ надо с ldv@
говорить, я тут ни при чём совсем).

Ключевое слово -- "времени".  Компания по определению не может
найти ресурсы на поддержку всего того, что делает сообщество.
Сервисы навроде кормления администратора с ложечки хороши,
но могут быть сколько-нибудь жизнеспособными исключительно 
как коммерческая услуга или устойчивый общественный проект.

То есть чтобы не скатиться к RHEL/FC (огрызочный набор пакетов,
зато работающий -- в RHEL обычно -- и поддерживаемый) --
требуется именно что понимание сообществом майнтейнеров того,
что сборкой пакета возня с ним обычно не оканчивается и поэтому
собирать что попало -- плохая практика, а сообществом
пользователей -- что майнтейнеры такие же люди и у них досуг
пакетами не исчерпывается.

Соответственно при наличии возможности помочь даже с одним
пакетом, в котором кто-либо так же или более заинтересован, 
как текущий майнтейнер -- может иметь смысл предложить свою 
помощь с теми же sec updates.

При наличии возможности помочь с объяснениями человеческим языком
-- опять же пишите, можно чего-нить подумать, если хоть два-три
(более одного) человека всерьёз решат выделить хоть по паре часов
в неделю на подобное да на той же secunia.com подпишутся на
анонсы.

PS: даю Cc: devel@, просьба отвечать только в один список.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Проблемы с безопасностью дистрибутивов

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 688 bytes --]

On Tue, Dec 13, 2005 at 11:46:18AM +0300, Eugene Seppel wrote:
> Я бы, всё-же, осмелился предложить принять какое-нибуть решение по поводу
> Middleman.
Майнтейнер принял решение удалить пакет из сизифа и известил об этом
incoming@ сегодня утром.

> Я бы с радостью написал патчи к middleman и послал маинтайнеру, да вот
> только времени в этом месяце не будет:(
Пакет не имеет майнтейнера, проект на SF, видимо, умер. Забейте.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Осталось допилить новую версию kdebluetooth, которая достигла
версии 1.0_beta1. Пилю уже третий вечер, напильник не помогает,
пришлось брать кувалду.
		-- alb in community@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Проблемы с безопасностью дистрибутивов

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 620 bytes --]

On Wed, Dec 14, 2005 at 07:42:37PM +0700, Evgenii Terechkov wrote:
> Извините за вмешательство, но я что-то пропустил (часть рассылки не 
> дошла видимо). Не кинете ли в меня ссылочкой на описание проблем с 
> Middleman-м? А то мне случается им пользоваться, и как раз недавно новую 
> версия собирал, может что-то надо будет поправить.
https://bugzilla.altlinux.org/show_bug.cgi?id=8588

Плюс в sisyphus@ писал ~неделю назад.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

90% наших текущих пользователей - из зоны .ru.
Остальные 10% - читают руководства ;-)
		-- rider in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: Проблемы с безопасностью дистрибутивов

[Evgenii Terechkov]

Eugene Seppel писал:

> Я бы, всё-же, осмелился предложить принять какое-нибуть решение по 
> поводу Middleman. Недопустимо иметь такие, с позволения сказать, 
> прокси-сервера.
> Когда я понял суть проблемы с ним, я чуть не впал в панику, вспомнив про 
> свой сервак с пользователями, которым я мало доверяю, и сразу стал 
> проверять конфиги прокси на сервере.
> 
> Я бы с радостью написал патчи к middleman и послал маинтайнеру, да вот 
> только времени в этом месяце не будет:(
> 
> Это всё к тому, что если бы был список рассылки security-announce, можно 
> было бы в него написать, что дескать есть такая проблема и она решается. 
> Но пока -- сделайте так-то.

Извините за вмешательство, но я что-то пропустил (часть рассылки не 
дошла видимо). Не кинете ли в меня ссылочкой на описание проблем с 
Middleman-м? А то мне случается им пользоваться, и как раз недавно новую 
версия собирал, может что-то надо будет поправить.

[Comm] Re: Проблемы с безопасностью дистрибутивов

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 685 bytes --]

On Tue, Dec 13, 2005 at 11:08:14AM +0200, Michael Shigorin wrote:
> А остальные пользуют вполне активно поддерживаемый squid.
Они ортогональны.
middleman близок к privoxy.

И таки да, майнтейнер middleman использует privoxy примерно с того
момента, как острая необходимость в rewrite гзипованных страничек (ради
чего я собирал middleman и джойнился) отпала.


-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

> Что необходимо сделать, чтобы забрать пакеты из orphaned?
1. Убедиться, что вас не опередили.  Обычно для этого достаточно
анонсировать свой план собрать какой-то пакет из orphaned.
2. Собрать и выложить в incoming.
		-- ldv in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]