LINUX.ORG.RU

Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет.

 , , , , ,


0

2

Вышла версия 3.0 дистрибутива Openwall GNU/*/Linux (для краткости - Owl), разрабатываемого преимущественно в России.

Owl - компактный, с повышенной безопасностью и встроенной поддержкой OpenVZ-виртуализации дистрибутив Linux для серверов. Owl также хорошо подходит в качестве базовой системы для образов виртуальных машин и для встраиваемых систем, а один CD с Owl включает полную live-систему, устанавливаемые пакеты, инсталлятор, полные исходники и даже систему сборки.

Доступны для скачивания ISO-образы для i686 и x86-64 (каждый - на один CD диск).

Изменения с версии 2.0 включают добавление поддержки x86-64, переход на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями), интеграцию поддержки OpenVZ (как host, так и guest), автоматическую сборку ISO-образов и шаблонов OpenVZ («make iso», «make vztemplate»), поддержку файловой системы ext4 (более того, инсталлятор по умолчанию предлагает использовать именно ее, поддерживая при этом также выбор ext3 или ext2), поддержку xz-сжатия (не только команды xz*, но и поддержку в tar, rpm, less, цветной выдаче ls), немного дополнительных пакетов (smartmontools, mdadm, cdrkit, pciutils, dmidecode, vzctl, vzquota, xz), много обновлений версий пакетов, улучшенную поддержку оборудования и более очевидный процесс установки, распознавание и запись информации об отправителе сообщений в syslogd (записываются UID и PID, если отправитель не root), «черный список» ключей в OpenSSH (по следам известной проблемы в Debian), и многое другое.

Одна из особенностей Owl 3.0 - полное отсутствие SUID программ в умалчиваемой установке. (Вместо них есть небольшое количество SGID программ, а доступ соответствующих групп не расширяется до root-доступа без дополнительной уязвимости.)

После этого релиза будет вестись поддержка ветки 3.0-stable, а дальнейшие разработки продолжатся в Owl-current.

>>> Анонс от Openwall



Проверено: maxcom ()

интеграцию поддержки OpenVZ (как host, так и guest), автоматическую сборку ISO-образов и шаблонов OpenVZ («make iso», «make vztemplate»),

вот это хорошо

tommy ★★★★★
()

Желаю проекту удачи.[ и пользователей]

zelel
()

Openwall

Не очень подходящее («открытая стена») название для дистрибутива «с повышенной безопасностью» :)

RADO
()
Ответ на: Openwall от RADO

Вы не знаете, что такое «стена», или у вас всё так плохо с логикой?

anonymous
()

этот дистрибутив тоже можно скачать с яндекс.диска?

xhat
()

> разрабатываемого преимущественно в России

в умалчиваемой установке


Пардон, это, что ли, так с русского на русский перевелось?

shylent
()

> полное отсутствие SUID программ в умалчиваемой установке

в умалчиваемой установке

в умалчиваемой установке



Сделайте меня развидеть это

Manhunt ★★★★★
()

> переход на RHEL 5.5-подобные ядра Linux

Как раз поспели к выходу RHEL 6 :D

Manhunt ★★★★★
()
Ответ на: комментарий от shylent

Нет, это так копипасты с опеннета переводятся на неопеннетовский.

Лучше бы не позорились.

anonymous
()

всё-таки рускыя йазыка сложная очень.

anonymous
()

Может, из «security» перенести в «open source»? Или причина обновления - обнаруженные дыры?

router ★★★★★
()
Ответ на: комментарий от Mr_Alone

>Это пять! Гугль транслэйт рулит!

рулит, особенно учитывая, что

Вышла версия 3.0 дистрибутива Openwall GNU/*/Linux (для краткости - Owl), разрабатываемого преимущественно в России.

видимо, украинцами (с Ивано-Франковска) и азиатами (отовсюду).

anonymous
()

>поддержку файловой системы ext4 (более того, инсталлятор по умолчанию предлагает использовать именно ее, поддерживая при этом также выбор ext3 или ext2),

Богатый выбор, что тут скажешь. Действительно, зачем хомячкам рейзер и jfs?

anonymous
()

ФСБ участвует в разработке? неужели наши хуже сраного америкосового ФБР?

Kompilainenn ★★★★★
()

>Owl - компактный, с повышенной безопасностью

А в нем уже провели аудит на предмет вчерашней «уязвимости» в ipsec?

isvolo4
()
Ответ на: комментарий от isvolo4

Кстати, возможно, что и провели. Solar Designer — он такой... :)

gns ★★★★★
()

Скачал установочный диск. LILO, первоначальная загрузка c CD только процессы ядра и bash. Весьма стильно! Мечта!

anonymous
()

Морда вебовская у OpenWall'а есть? Если нет, то в сад.

DRVTiny ★★★★★
()

ну раз ни кто до меня не сказал о ненужности сабжа заявит аноним. чем оно лучше windows vista?

anonymous
()
Ответ на: комментарий от anonymous

>ну раз ни кто до меня не сказал о ненужности сабжа заявит аноним. чем оно лучше windows vista?

troll_mode

В нём есть 12309.

edom_llort

Capture
()
Ответ на: комментарий от RADO

Ну, положим, двух разработчиков я знаю лично. У них, конечно, имеется профессиональная деформация в виде паранойи (как у всякого озабоченного безопасностью), но уж шизофрении с раздвоением личности вроде как нет. :) У Солар Юрьевича Дизайнера принцип такой — он повременку платит, насколько мне известно. «В штате» у него никого нет, а вот к временным работам народ привлекается. Ну типа-- инсталлятор написать.

А вообще Вы правы — народа там действительно немного.

gns ★★★★★
()

Поздравления, качественный продукт.

ktotuta
()
Ответ на: комментарий от Mr_Alone

>_в умалчиваемой установке_

разрабатываемого преимущественно в России.

facepalm

dotbg ★★★★
()
Ответ на: комментарий от gns

Это да... Поздравляем всех (обоих :)) разработчиков.

RADO
()

Отвечу сразу всем, чтобы не плодить слишком много комментариев:

По поводу русского языка - виноват, когда пишу на технические темы, «думаю на английском». (У нас в проекте даже внутренняя переписка на английском т.к. не все знают русский, т.к. английский лучше подходит, а также для использования отрывков текста, например, для описания commit'ов.) Честно говоря, слова «умалчиваемая установка» признаю «не русскими» лишь после того как мне на это указали здесь, а так считал бы их уже устоявшимся термином в контексте неформальных «компьютерных дискуссий».

Пользователей у нас действительно меньше чем хотелось бы, но не так мало чтобы проект закрыть за ненадобностью. 10 лет существования и планы на будущее это подтверждают. Также, помимо пользователей непосредственно Owl, есть заимствование разработок и подходов другими проектами, чему мы только рады. В частности, некоторые изменения исходно появившиеся в Owl за эти годы вошли в «базовые системы» ALT Linux, Mandriva, FreeBSD, OpenBSD, а также изменения из Owl (другие) вошли в такие upstream-проекты как xinetd, GNU tar, OpenSSH, Perl и другие. Ряд программ, разрабатываемых как часть Owl, есть также в составе основных/крупных дистрибутивов - те же passwdqc и john есть в RHEL/Fedora, Debian/Ubuntu и т.д. Т.е. мы - upstream разработчик для этих пакетов в других дистрибутивах. У McAfee есть продукт (appliance) с системой на основе Owl.

Как раз поспели к выходу RHEL 6 :D

Да. Увы, повышенная безопасность и использование свежайших upstream-версий программ (особенно ядра) плохо совмещаются. С точки зрения безопасности, нам не очень-то нравится и переход с 2.4 на RHEL 5 ядра, но от этого было никуда не деться - нужна поддержка нового оборудования и еще некоторые нововведения. Уязвимостей в свежих 2.6 сейчас находят в десятки раз больше, чем в 2.4. Это стабильный поток «новостей» - каждую неделю что-то новое (и не одно). Выпускать обновления ядра каждую неделю мы не готовы, да и пользователи не поймут. (Правда, бОльшая часть уязвимостей находится в компонентах ядра, которые на Owl по умолчанию недоступны для атак.) Часть из этих уязвимостей относится также и к RHEL 5 ядрам (но только часть). Ядро в RHEL 6 - не свежайшее, но все же наверняка содержит новые уязвимости, которых в RHEL 5 ядрах еще нет и которые туда не привнесли back-port'ами. Необходимости переходить с поддерживаемых RHEL 5.x ядер на RHEL 6 я еще не вижу. Нужны конкретные причины, а не просто более «красивый» номер версии. Вероятно, мы такой переход осуществим, но позже.

Еще в тему: наш userland может работать и с другими версиями ядер серии 2.6. Кому реально нужно - могут запустить Owl userland с kernel.org или RHEL 6 ядрами (или, скорее, с OpenVZ ядрами из их ветки на основе RHEL 6 - такая тоже есть).

Может, из «security» перенести в «open source»? Или причина обновления - обнаруженные дыры?

Я не против переноса. Как лучше - не знаю. Выбрал «security» т.к. это одна из основных особенностей дистрибутива.

Богатый выбор, что тут скажешь. Действительно, зачем хомячкам рейзер и jfs?

В Owl, мы не готовы без надобности брать на себя ответственность (в какой-то степени) за «дублирующие» реализации компонентов. Больше вариантов - больше багов, которые нам исправлять, а некоторые из багов окажутся еще и уязвимостями. Просто так «прикрутить» кучу файловых систем, добавить кучу пакетов со всем подряд и т.д. - легко - но это уже делают в других дистрибутивах. Если мы пойдем по тому же пути, что другие, как раз это сделает Owl ненужной даже для той небольшой «аудитории», что у нас сейчас есть.

А в нем уже провели аудит на предмет вчерашней «уязвимости» в ipsec?

Кстати, да. ;-) Мы, в контексте другой дискуссии, посмотрели нет ли в исходниках ядра относящегося к теме кода из OpenBSD - его там нет. В нашем userspace поддержки IPsec нет. Возможно, в дальнейшем включим в базовую поставку OpenVPN (сейчас он отлично ставится «поверх» Owl пользователем/админом) - это не IPsec. Планов на включение поддержки IPsec «из коробки» на данный момент нет.

Скачал установочный диск. LILO, первоначальная загрузка c CD только процессы ядра и bash. Весьма стильно! Мечта!

Рад, что это понравилось. Кстати, чтобы никто не удивлялся, у нас выложены screenshot'ы. Вот как оно выглядит:

http://www.openwall.com/Owl/screenshots

Т.е. до запуска инсталлятора или «настройщика» live-системы (на выбор) остается одна команда. Названия этих команд (settle и setup) приведены «ярким текстом» в сообщении, выводимом до приглашения bash. Таким образом, проблемы я здесь не вижу - кто хочет «просто поставиться», введет одну простую команду, а дальше инсталлятор его «поведет» по шагам. Хотя допускаю, что мы могли бы запускать инсталлятор сразу и, наоборот, «просить» тех, кому нужно что-то «хитрое», выходить из инсталлятора в шелл.

Морда вебовская у OpenWall'а есть? Если нет, то в сад.

В базовой поставке - нет и не будет. Буду рад появлению надстроек и систем на основе Owl, в которых будет «морда вебовская» и что угодно еще. Мы стараемся делать хорошую «базовую систему» в том числе и для таких применений (и такие применения Owl реально есть).

«Безопасный» дистрибутив с веб-интерфейсом уже есть другой: EnGarde Secure Linux. С безопасностью там дела обстоят иначе. ;-)

Поздравления, качественный продукт.

Спасибо за все поздравления! Кстати, разработчиков больше «двух» - активное участие в разработке после версии 2.0 приняли где-то от 5 до 10 человек (смотря commit'ы какой важности и в каком количестве считать «активным участием»). На внутренний список рассылки разработчиков подписано более 30 человек. Многие из тех, кто сам не commit'ит, тем не менее дают советы, влияющие на разработку, и присылают патчи. Команда небольшая, но она соответствует небольшим же масштабам проекта.

solardiz
() автор топика
Ответ на: комментарий от solardiz

Так держать! Пока одни треплют языками, вы делаете нужное дело!

Rakot ★★
()
Ответ на: комментарий от solardiz

«Умалчиваемая установка» безупречна синтаксически, точна семантически, хотя и непривычна стилистически.

Не обращайте внимание на троллей.

anonymous
()
Ответ на: комментарий от solardiz

На всякий случай... Насчёт «двух» (тем более «полтора») разработчиков - это был юморительтый щутк. Однако с намёком на небольшое количество разработчиков :), что, естественно, ничего не может сказать о качестве, полезности или какой-нибудь ещё характеристике данного дистрибутива. Чтобы с этим определиться нужно его попробовать. Чего всем и советую :) В свете вступления в силу закона о защите персональных данных это может быть полезно. Кстати как у вас насчёт лицензий и сертификатов по этому направлению?

RADO
()
Ответ на: комментарий от solardiz

>Возможно, в дальнейшем включим в базовую поставку OpenVPN

хорошо, если так. Вещь нужная, работа ее «из коробки» это очень удобно.

isvolo4
()
Ответ на: комментарий от RADO

> ... нужно его попробовать. Чего всем и советую :)

Присоединяюсь. Очень хотелось бы получать больше отзывов по существу.

В свете вступления в силу закона о защите персональных данных это может быть полезно. Кстати как у вас насчёт лицензий и сертификатов по этому направлению?

Мы этим не занимались. Впрочем, один из участников проекта составил «русскоязычную лицензию» на Owl, чтобы на нее можно было ссылаться в случае какой-либо проверки, но это другое:

http://openwall.info/wiki/Owl/Russian-license-for-Owl

Что касается формальной сертификации дистрибутива в России - думаю, для этих целей лучше использовать дистрибутивы от ALT Linux. «Базовая система» там использует наработки из Owl, а компания ALT Linux, в отличие от нашего небольшого и в основном некоммерческого проекта, уже вложила ресурсы в различную сертификацию.

P.S. А давайте поднимем тему Owl 3.0 на Slashdot: http://slashdot.org/submission/1420798/Openwall-Linux-30-no-SUIDs-anti-log-sp...

solardiz
() автор топика
Ответ на: комментарий от isvolo4

Голос за OpenVPN принят. Пока что мы обеспечили наличие в умалчиваемом ядре соответствующих компонентов (нужные CONFIG_* включены) и наличие /dev/net/tun (кстати, mode 600, а не как у некоторых). Так что OpenVPN должен просто «заводиться». (Кстати, этот комментарий пойдет через OpenVPN между двумя Owl-системами.)

А с Ubuntu мы дружим. В частности, обмениваемся патчами с Kees Cook из Ubuntu security team, а также совместно заинтересованы в этом проекте:

https://wiki.ubuntu.com/SecurityTeam/Roadmap/KernelHardening

solardiz
() автор топика
Ответ на: комментарий от solardiz

>в умалчиваемом

Всё-таки режет слух... Может лучше «в дефолтном»? Вполне себе устоявшийся жаргонизм.

Я так понимаю ваша команда занимается в основном развитием защитных систем, а данный дистр выпускается как образец использования всех наработок. Так?

RADO
()

Спасибо за работу. В свое время пытался поставить Owl, и отказался в пользу федориного коря как раз из-за [не]поддержки железа.

Умалчиваемая установка режет слух, но таки действительно отражает суть явления :-)

Не слушайте троллей(чорт, я тоже тролль :-) ), удачи в дальнейшей разработке.

anonymous
()
Ответ на: комментарий от RADO

Насчет того какой жаргонизм лучше - не знаю.

Я так понимаю ваша команда занимается в основном развитием защитных систем,

Пожалуй. Но безопасность не существует сама по себе. Должна быть еще функциональность. Поэтому мы тратим время не только на разработки средств обеспечения безопасности (такие как John the Ripper, passwdqc, scanlogd), но и на написание безопасного кода в других программах (например, popa3d) и на выявление и исправление уязвимостей или неоправданных рисков в существующих программах. Например, сами по себе наши изменения в glibc не являются «защитной системой», да и glibc не является таковой, но в целом у нас получается более безопасная glibc.

а данный дистр выпускается как образец использования всех наработок. Так?

Я бы так не сказал. Просто ради примера мы бы столько времени на него не тратили. Мы реально используем Owl сами, устанавливаем ее клиентам, поддерживаем такие системы уже годами (в основном - удаленно). Несмотря на маленький размер Owl, мы ставим ее и на сравнительно крупные сервера - 8 ядер, до 64 GB RAM - без проблем. Использование этих серверов соответствует их размеру - т.е. на Owl хост-системе крутится много OpenVZ-контейнеров с тем же Owl + доп. софтом, а также иногда несколько с другими дистрибутивами (зависит от задачи и запросов клиента или, чаще, клиента нашего клиента, если речь идет о хостинге). Вот пример услуги, предоставляемой на базе Owl: http://www.webenabled.com (задействованы сервера в двух data-центрах в Калифорнии).

Некоторые разработки - в частности, passwdqc - были начаты именно в рамках проекта Owl, т.е. дистрибутива, хотя и с планами «на экспорт» (что и вышло с тем же passwdqc - он сейчас в базовом дереве FreeBSD и DragonFly BSD, в базовой системе ALT Linux, а также в пакетах/портах остальных крупных систем). Наш «tcb» - альтернативу /etc/shadow - вообще не имело смысл делать без дистрибутива, т.к. у tcb тогда не было бы ни одного пользователя. Хотя признаю, что наличие Owl позволило не только применить tcb нам, но и показать другим, что это работает. В результате - интеграция в ALT Linux и Mandriva.

solardiz
() автор топика
Ответ на: комментарий от anonymous

> В свое время пытался поставить Owl, и отказался в пользу федориного коря как раз из-за [не]поддержки железа.

Возможно, пора попробовать еще раз. Теперь и поддержка железа лучше и переход на Owl проще - можно отдельно переводить хост-систему и/или, наоборот, поставить контейнер с Owl userland на уже существующую систему с OpenVZ или Virtuozzo. В первом случае можно сначала сохранить привычный дистрибутив для приложений, а во втором - начать экспериментировать с приложениями под Owl еще не уходя с уже работающей системы. Вот, на OpenNet один из участников дискуссии написал что поднял контейнер с Owl 3.0 userland под proxmox за 3 минуты. Это один из вариантов начать ознакомление с системой.

И обязательно пишите что вышло - нам нужны как положительные, так и отрицательные отзывы (желательно - конструктивные). Спасибо!

solardiz
() автор топика
Ответ на: комментарий от solardiz

Очень любопытно. И почему я раньше о ней не слышал..?

RADO
()

День добрый.

Вопрос, который пару лет назад Вам уже задавали: планируется ли какая нибудь надстройка типа yum, для обновления системы?

ЗЫ: используем Owl 2 на фаерволе-VPN гейте.

SDenis
()
Ответ на: комментарий от SDenis

> планируется ли какая нибудь надстройка типа yum, для обновления системы?

Планируется сначала в рамках одного конкретного проекта на основе Owl. Думаю, будет сделано в ближайшие пару месяцев. Что касается включения в общедоступный Owl-current, то, если нам понравится как получилось, оно будет сделано - причем до следующего релиза Owl.

Еще один голос мысленно засчитал. Спасибо!

solardiz
() автор топика
Ответ на: комментарий от anonymous

> «Умалчиваемая установка» безупречна синтаксически, точна семантически

«Умалчиваемая установка» точна семантически

точна семантически


семантически



Норкоман?

«умалчиваемый» == «замалчиваемый»

LamerOk ★★★★★
()
Ответ на: комментарий от RADO

>> в умалчиваемом

Всё-таки режет слух... Может лучше «в дефолтном»?


Ять те дам, «в дефолтном»..

Что, совсем уже обторчались, что простого русского «по умолчанию» не знаете?

LamerOk ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.