From: "Денис Смирнов" <mithraen@altlinux.ru>
To: "культурный офтопик" <smoke-room@lists.altlinux.org>
Subject: Re: [room] Ubuntu servers hijacked, used to launch attack
Date: Sun, 2 Sep 2007 13:21:55 +0400
Message-ID: <20070902092155.GC20575@mw.local.seiros.ru> (raw)
In-Reply-To: <87r6lylaus.fsf@asia.home.dd>
On Mon, Aug 20, 2007 at 03:11:07PM +0400, Dmitry Derjavin wrote:
>> Если взять сегодняшний сервер и оставить на год без обновлений, и то
>> же самое сделать с убунтой какой -- у меня будут сомнения что через
>> год наш будет легко взломать.
DD> Не показательно. Это и есть тот самый "физический сервер в вакууме".
DD> Рабочий сервер без обновлений в течение года -- нештатная ситуация.
Напомню что одна из ошибок в sshd которая была исправлена ldv@ _годы_
назад недавно у всех вылезла. Столько времени была security ошибка в sshd,
и если ldv@ не один такой умный, то она возможно эти годы
_эксплуатировалась_.
Надеюсь не надо объяснять что с момента обнаружения ошибки разработчиками
до момента выполнения обновления на конкретной машине часто проходят
дни?
>> В том же что такое можно будет проделать с убунту у меня сомнений
>> нет.
DD> Лучше прикиньте, что будет, если те же два сервера в течение того же
DD> года обновлять _только_ из официальных репозиториев, включая
DD> security-updates. В этом случае по поводу Ubuntu у меня тоже сомнений
DD> нет. А с нашим сервером -- очень сложно будет сказать, в каком он
DD> окажется состоянии.
Я скажу страшную вещь -- я Сизифу доверюсь больше чем Ubuntu. А в случае с
Server 4.0 я достаточно хорошо знаю release manager'а чтобы ему доверять,
и чтобы быть увереным что на некоторых машинках я могу даже apt-get
upgrade поставить в cron без опасности для жизни.
Наиболее критичные компоненты у нас поддерживаютсяя одним человеком,
который является достаточно параноидальным чтобы можно было не бояться что
он поленится сделать security update. Кроме того у нас достаточно хорошая
команда, чтобы люди друг-другу активно помогали. Вон на днях Миша Шигорин
из nginx initscript сделал сказку.
Связано это с тем, что большая часть пакетов в сизифе _активно
используется членами team_. Дистрибутивы где поддержка организуется в
основном за зарплату может и обеспечивает большую предсказуемость, но,
увы, это предсказуемо низкое качество. А здесь хоть и менее предсказуемо,
зато качество выше.
>> Слишком много усилий к нашему серверу прикладывается, чтобы
>> обеспечить таки security.
DD> Да, в 4.0 ситуация меняется в лучшую сторону. И это радует, конечно.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
Присылайте патчи.
-- ldv in devel@
next prev parent reply other threads:[~2007-09-02 9:21 UTC|newest]
Thread overview: 48+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-08-16 18:01 Michael Shigorin
2007-08-17 9:32 ` Dmitry Derjavin
2007-08-17 9:48 ` Aleksey Novodvorsky
2007-08-17 13:14 ` [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack) Dmitry Derjavin
2007-08-17 13:18 ` Aleksey Novodvorsky
2007-08-17 13:26 ` Pavlov Konstantin
2007-08-17 13:30 ` [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch?attack) Pavlov Konstantin
2007-08-17 13:32 ` [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack) Aleksey Novodvorsky
2007-08-17 13:59 ` Igor Zubkov
2007-08-17 14:06 ` Michael Shigorin
2007-08-17 15:38 ` [room] Серверные дистрибутивы Dmitry Derjavin
2007-08-17 15:46 ` Michael Shigorin
2007-08-17 16:02 ` Dmitry Derjavin
2007-08-17 14:05 ` [room] Серверные дистрибутивы (was: Ubuntu servers hijacked, used to launch attack) Michael Shigorin
2007-08-17 14:30 ` Pavlov Konstantin
2007-08-17 14:33 ` [room] общие проблемы Michael Shigorin
2007-08-17 14:45 ` Pavlov Konstantin
2007-08-17 15:48 ` [room] Серверные дистрибутивы Dmitry Derjavin
2007-08-17 16:06 ` [room] обиды, баги и прочая ерунда Michael Shigorin
2007-08-17 18:56 ` Dmitry Derjavin
2007-08-26 15:17 ` [room] ссылки по CVE в %changelog Michael Shigorin
2007-08-27 7:09 ` Avramenko Andrew
2007-08-17 13:54 ` [room] Ubuntu servers hijacked, used to launch attack Michael Shigorin
2007-08-17 14:57 ` Dmitry Derjavin
2007-08-17 15:11 ` Michael Shigorin
2007-08-19 6:45 ` Денис Смирнов
2007-08-19 20:45 ` Pavlov Konstantin
2007-08-20 3:16 ` Денис Смирнов
2007-08-20 9:35 ` [room] sshd oom-killed Michael Shigorin
2007-08-20 9:42 ` Pavlov Konstantin
2007-08-20 9:45 ` Michael Shigorin
2007-08-20 9:47 ` Pavlov Konstantin
2007-08-20 9:51 ` Michael Shigorin
2007-09-02 9:13 ` Денис Смирнов
2007-09-02 9:47 ` Pavlov Konstantin
2007-09-10 20:41 ` Денис Смирнов
2007-09-13 17:23 ` Michael Shigorin
2007-09-21 12:19 ` Igor Zubkov
2007-08-20 11:11 ` [room] Ubuntu servers hijacked, used to launch attack Dmitry Derjavin
2007-08-20 12:13 ` Michael Shigorin
2007-08-20 18:57 ` Dmitry Derjavin
2007-08-20 19:33 ` Michael Shigorin
2007-08-22 13:00 ` [room] M24 Michael Shigorin
2007-09-02 9:24 ` [room] Ubuntu servers hijacked, used to launch attack Денис Смирнов
2007-09-02 9:21 ` Денис Смирнов [this message]
2007-09-02 13:03 ` Беляев В.Н.
2007-09-03 19:49 ` Денис Смирнов
2007-09-04 19:20 ` Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20070902092155.GC20575@mw.local.seiros.ru \
--to=mithraen@altlinux.ru \
--cc=smoke-room@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
Культурный офтопик
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/smoke-room/0 smoke-room/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 smoke-room smoke-room/ http://lore.altlinux.org/smoke-room \
smoke-room@lists.altlinux.org smoke-room@lists.altlinux.ru smoke-room@lists.altlinux.com smoke-room@altlinux.ru smoke-room@altlinux.org smoke-room@altlinux.com
public-inbox-index smoke-room
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.smoke-room
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git