GoldenLine
Zaloguj się

konto usunięte

Temat: Poważna luka w jądrze systemu!

Jak donosi serwis "Unixmen" wykryto dość poważną lukę bezpieczeństwa
w jądrach systemu Ubuntu.

Więcej do poczytania tu:
http://www.unixmen.com/news-today/770-ubuntu-has-serio...

I tu:
http://www.ubuntu.com/usn/USN-894-1

Zalecane uaktualnienie jajka systemu.
Link do wypowiedziLink
Maciej Piotr P.

Maciej Piotr P. support "FreeBSD
Fanatic User"

Temat: Poważna luka w jądrze systemu!

Marcin B.:
Jak donosi serwis "Unixmen" wykryto dość poważną lukę bezpieczeństwa
w jądrach systemu Ubuntu.

Więcej do poczytania tu:
http://www.unixmen.com/news-today/770-ubuntu-has-serio...

I tu:
http://www.ubuntu.com/usn/USN-894-1

Zalecane uaktualnienie jajka systemu.

a to ktoś w ogóle używa ubuntu ? ;)
Link do wypowiedziLink

konto usunięte

Temat: Poważna luka w jądrze systemu!

No, trochę ludzi używa :)
Link do wypowiedziLink
Maciej K.

Maciej K. DevOps Engineer

Temat: Poważna luka w jądrze systemu!

A czy w poważniejszych systemach ktoś używa kernela z paczki dostarczanej przez dystrybucję? W takim razie pozdrawiam :) Zazwyczaj jest spore opóźnienie w tworzeniu aktualnych paczek, więc warto samemu się tym zająć dołączając przy tym odpowiednie dodatki, łatki, dostosowując jądro do własnych potrzeb itp.
Link do wypowiedziLink
Andrzej Zieliński

Andrzej Zieliński Administrator
Systemów
Informatycznych, Sp.
z.o.o

Temat: Poważna luka w jądrze systemu!

Oczywiście że używa się kernela z paczki, kto ma tyle czasu na rekompilacje kernela ???
Link do wypowiedziLink
Maciej K.

Maciej K. DevOps Engineer

Temat: Poważna luka w jądrze systemu!

Czasem milczenie jest złotem ale tym razem się nie powstrzymam i powiem, że jak ktoś nie ma czasu na swoje podstawowe zajęcia (zapewnienie bezpieczeństwa systemu) to raczej powinien się zająć hodowlą jedwabników... Kernela z paczki użyłbym jedynie na workstacji (w dodatku odłączonej od sieci), na której najważniejszymi danymi są babcine przepisy na ciasto. Ale może jestem zbyt wymagający... Dla mnie EOT.
Link do wypowiedziLink

konto usunięte

Temat: Poważna luka w jądrze systemu!

na pewno jak sie administruje jedna maszyna to rekompilacja jądra to nie jest dużo pracy, a co jeśli administrujesz farma serwerów ?
Będziesz rekompilował jajko na 200 maszynach, gdzie na 50 jest Debian, na 50 FreeBSD, a na reszczie jeszcze co innego i do tego maszyny są różnych producentów i mają rożne konfiguracje sprzętowe ?
Poza tym nowsze jądro nie zawsze jest lepsze, owszem ma obsługę nowych urządzeń, może poprawiać błędy bezpieczeństwa, jednak na maszynie produkcyjnej sie nie eksperymentuje i stabilność przede wszystkim.
Link do wypowiedziLink
Maciej K.

Maciej K. DevOps Engineer

Temat: Poważna luka w jądrze systemu!

Robi się własne paczki uwzględniając wspólne cechy swoich serwerów, zatem nie trzeba na każdym pojedynczym serwerze spędzać całych, wydłużających się w nieskończoność 5 minut czekając na kompilację (no, chyba że kompilujesz na jakimś zabytkowym sprzęcie). Zawsze dostępne jest jądro lepsze od wersji dystrybucyjnej, która nie zapewnia wielu zaawansowanych mechanizmów i funkcji - zapewnia za to masę niepotrzebnych śmieci.
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: Poważna luka w jądrze systemu!

Haha... ale mi się fuksnęło :)
"7.xx versions are not affected" :)

@Maciej Kowalkowski: "A czy w poważniejszych systemach ktoś używa kernela z paczki dostarczanej przez dystrybucję? W takim razie pozdrawiam :)" No bez przesady. Chyba po to są paczki, żeby nie bawić sie we własnoręczne kompilowanie wszystkiego... System mam zainstalowac i ma działać. Moim zdaniem zakładanie, ze na "dzień dobry" po zainstalowaniu systemu trzeba własnoręcznie przekompilować jajko (i może jeszcze z pięćdziesiąt innych rzeczy...?) jest chore. Zwłaszcza powiedz to użytkownikowi domowego komputera albo gościowi z helpdesku, który dziennie instaluje systemy na 10 komputerach userów... Instaluję i ma działać - powtarzam. To wymaganie zresztą Ubuntu znakomicie spełnia. A to że trafiła sie dziura? A niech mi ktos pokaże oprogramowanie bez dziur... Nie tak dawno zresztą przecież znaleziono dziurę we wszystkich kernelach Linuksa i to niezałataną od 8 lat. Ciekawe czy własnoręczna kompilacja cos by na to pomogła... ;)
Link do wypowiedziLink

konto usunięte

Temat: Poważna luka w jądrze systemu!

Marceli Mielczarek:
Poza tym nowsze jądro nie zawsze jest lepsze, owszem ma obsługę nowych urządzeń, może poprawiać błędy bezpieczeństwa, jednak na maszynie produkcyjnej sie nie eksperymentuje i stabilność przede wszystkim.
Dokładnie tak. Kompilacja tylko na dedykowanych maszynach.
Link do wypowiedziLink
Maciej K.

Maciej K. DevOps Engineer

Temat: Poważna luka w jądrze systemu!

Marcin Bojko:
Dokładnie tak. Kompilacja tylko na dedykowanych maszynach.

Czy mam przez to rozumieć, że jądro zakwalifikowane przez jego twórców jako stabilne + kilka dni testów w swoim środowisku testowym to niewystarczająca rekomendacja, by stosować tego typu jądra w środowisku produkcyjnym? Pisząc najnowsze nie miałem na myśli jakichś eksperymentalnych wersji lecz te, które są oznaczane jako stabilne i do których powstały już poprawki, których używam. I tak się jakoś zawsze składa, że dużo wcześniej powstają dodatki i łaty, które dołączam do standardowego kernela niż paczka dystrybutora. Mam zaufanie np. do Debiana ale krytyczne dla funkcjonowania systemu usługi wolę skompilować własnoręcznie dostosowując je do ściśle określonych potrzeb.
Link do wypowiedziLink

konto usunięte

Temat: Poważna luka w jądrze systemu!

Maciej K.:
Marcin Bojko:
Dokładnie tak. Kompilacja tylko na dedykowanych maszynach.

Czy mam przez to rozumieć, że jądro zakwalifikowane przez jego twórców jako stabilne + kilka dni testów w swoim środowisku testowym to niewystarczająca rekomendacja, by stosować tego typu jądra w środowisku produkcyjnym?
W sieci blokowej, może w małym hostingu, zapewne wystarcza. Kernele sprofilowane które stawiam są testowane nieco dłużej i szerzej.
Pisząc najnowsze nie miałem
na myśli jakichś eksperymentalnych wersji lecz te, które są oznaczane jako stabilne i do których powstały już poprawki, których używam. I tak się jakoś zawsze składa, że dużo wcześniej powstają dodatki i łaty, które dołączam do standardowego kernela niż paczka dystrybutora. Mam zaufanie np. do Debiana ale krytyczne dla funkcjonowania systemu usługi wolę skompilować własnoręcznie dostosowując je do ściśle określonych potrzeb.
Ja z kolei mam zaufanie do teamu przygotowującego paczki (w tym kernele) dla poważniejszych niż Ubuntu dystrybucji. Wierzę też że środowisko wychwyci i naprawi więcej błędów niż ja sam nawet w wielomiesięcznym testowaniu.
Jak widzisz wszystko opiera sie o balans potrzeb i możliwości. Nie mam potrzeby oszczędzania nanosekund przez kernele w maszynach produkcyjnych, doceniam jednak stabilność i support jaką niesie standaryzacja - zwłaszcza przy maszynach produkcyjnych.

Ale, ale - robi sie z tego powoli dyskusja o wyższości świąt...Marcin Bojko edytował(a) ten post dnia 10.02.10 o godzinie 12:47
Link do wypowiedziLink

konto usunięte

Temat: Poważna luka w jądrze systemu!

Maciej K.:
A czy w poważniejszych systemach ktoś używa kernela z paczki dostarczanej przez dystrybucję?

WTF? :)

W klasie "enterprise" uzywa sie WYLACZNIE kernela z paczki, bo inaczej mozesz sie pozegnac z jakimkolwiek wsparciem technicznym. Kernelowa rzezba jest dobra dla amatorow mocnych wrazen i nie majacych niczego lepszego do roboty, ewentualnie na systemach wymagajacych ekstra zabezpieczen (np. grsec) czy bardzo nietypowych konfiguracji.
Link do wypowiedziLink

konto usunięte

Temat: Poważna luka w jądrze systemu!

Łukasz S.:
Maciej K.:
A czy w poważniejszych systemach ktoś używa kernela z paczki dostarczanej przez dystrybucję?

WTF? :)

W klasie "enterprise" uzywa sie WYLACZNIE kernela z paczki, bo inaczej mozesz sie pozegnac z jakimkolwiek wsparciem technicznym. Kernelowa rzezba jest dobra dla amatorow mocnych wrazen i nie majacych niczego lepszego do roboty, ewentualnie na systemach wymagajacych ekstra zabezpieczen (np. grsec) czy bardzo nietypowych konfiguracji.
Ująłeś bardzo dosadnie moją dyplomatyczną odpowiedź ;)
Link do wypowiedziLink
Maciej K.

Maciej K. DevOps Engineer

Temat: Poważna luka w jądrze systemu!

Pokażcie mi zatem paczkę z dodatkiem choćby grsecurity, o którym wspomniał Łukasz :) Jest jeszcze sporo innych dodatków, których nie uświadczycie w standardzie tzw. klasy enterprise.
Link do wypowiedziLink

konto usunięte

Temat: Poważna luka w jądrze systemu!

Hm, a kto w ogóle używa ubuntu na produkcyjnych serwerach ?
Kernele z paczki są niby ok, jednak zawsze fajnie jest sobie je poulepszać ;)
Gentoo ma kernela z paczki z grsec :D Gentoo hardened ;)
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: Poważna luka w jądrze systemu!

Maciej K.:
Pokażcie mi zatem paczkę z dodatkiem choćby grsecurity, o którym wspomniał Łukasz :) Jest jeszcze sporo innych dodatków, których nie uświadczycie w standardzie tzw. klasy enterprise.

Mam wrażenie, że grsecurity nie jest aż tak potrzebne w produkcji klasy enterprise. Połowa grsecurity to zabezpieczenia przeciwko temu co może zrobić user lokalny... co powinno być generalnie niemożliwe poprzez architekturę i konfigurację. Druga połowa, to RBAC i systemy zabezpieczające pamięć. Ograniczenia zostały już wbudowane przez selinux, stack można zabezpieczyć kompilatorem, a inne segmenty przez losowe adresy loadowania. Security audit też jest możliwy bez tych patchy...
Myślę, że większość problemów można rozwiązać bez większych problemów paczkowanymi sposobami. Pewnie jak bym stawiał serwer z dostępem ogólnym do shella, to grsec. byłby jakoś usprawiedliwiony, ale inaczej... Po co miałbym bawić się w podążanie za biuletynami dla całego kernela i patchy, jeśli manager dystrybucji sam to robi? To nie jest wyjście dla dużych rozwiązań :(
Link do wypowiedziLink

konto usunięte

Temat: Poważna luka w jądrze systemu!

Maciej K.:
Pokażcie mi zatem paczkę z dodatkiem choćby grsecurity, o którym wspomniał Łukasz :) Jest jeszcze sporo innych dodatków, których nie uświadczycie w standardzie tzw. klasy enterprise.

Ubuntu + ksplice i jestes polatany na biezaco, bez jednego restartu.
I teraz pytanie - jakich dodatkow potrzebujesz do tego czego nie ma w paczkach i ktorych z tych dodatkow nie mozesz skompilowac w postaci modulu dla istniejacego kernela?
Link do wypowiedziLink

konto usunięte

Temat: Poważna luka w jądrze systemu!

Oskar Wyciślak:
Hm, a kto w ogóle używa ubuntu na produkcyjnych serwerach ?

To jakies przestepstwo jest? ;)
Kernele z paczki są niby ok, jednak zawsze fajnie jest sobie je poulepszać ;)

Na przyklad co? Wiekszosc rzeczy zwiazanych z optymalizacja mozna przeciez zrobic w locie uzywajac sysctl.
Link do wypowiedziLink

konto usunięte

Temat: Poważna luka w jądrze systemu!

Maciej K.:
Pokażcie mi zatem paczkę z dodatkiem choćby grsecurity, o którym wspomniał Łukasz :) Jest jeszcze sporo innych dodatków, których nie uświadczycie w standardzie tzw. klasy enterprise.

Dla odwaznych...
http://kernelsec.cr0.org/
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj