| 1 |
On Mon, 16 Jun 2014 00:46:04 +0400
|
| 2 |
Alexander Tsoy <alexander@××××.me> wrote:
|
| 3 |
|
| 4 |
> Не очень понятно, почему вышеперечисленные примеры свойственны только Gentoo, и как эти проблемы решены в других дистибутивах, вернее как они вообще могут быть решены. Так себе и представил редхатовцев и дебианщиков, проводящих аудит изменений в апстримном коде, ага. |
| 5 |
|
| 6 |
Они свойственны Gentoo в существенно большей мере и хорошо познаются в
|
| 7 |
сравнении. Например, обновление кода в Gentoo производится намного чаще
|
| 8 |
и в гораздо больших объёмах. Плюс нет окон поддержки замороженных
|
| 9 |
LTS-веток, нет более чёткого разделения на обновления безопасности,
|
| 10 |
рекомендованные и прочие. Практика осмысленного принятия выборочных
|
| 11 |
изменений в код применяется лишь в очень редких случаях и чаще не
|
| 12 |
вместо, а наряду с полным обновлением версий пакетов. И если
|
| 13 |
пользователь LTS-ветки бинарного дистрибутива может обладать хотя бы
|
| 14 |
принципиальной возможностью самостоятельно проводить аудит патчей когда
|
| 15 |
тех пакетов, которыми он пользуется, то у пользователей Gentoo в рамках
|
| 16 |
общепринятой практики такой возможности нет.
|
| 17 |
|
| 18 |
Обновления безопасности - отдельная тема. В Gentoo они часто выходят с
|
| 19 |
бОльшим запозданием, чем в тех же Debian/Ubuntu или RHEL. Мне,
|
| 20 |
например, раньше приходилось собирать свежие версии Firefox и
|
| 21 |
Thunderbird с обновлениями безопасности за несколько дней до их
|
| 22 |
появления в portage. А также патчить в локальном оверлее некоторые
|
| 23 |
пакеты, которые порой не обновлялись в portage неделями - навскидку это
|
| 24 |
MySQL, PostgreSQL и glibc.
|
| 25 |
|
| 26 |
Но если векторы атаки на glibc и СУБД чаще локальные, то в случае
|
| 27 |
браузеров и почтовых клиентов всё иначе. И не один я, надо полагать,
|
| 28 |
сталкивался с запоздалым выходом обновлений к ним. Мейнтейнеры
|
| 29 |
некоторых пакетов - тоже. А ведь в большинстве своём это люди, которые
|
| 30 |
не пользуются проактивной защитой (hardened-ядра и сопутствующие
|
| 31 |
модификации пакетов). И это в довесок к тому, что они запускают всякий
|
| 32 |
хлам не только в одной системе, но и под одним и тем же пользователем на
|
| 33 |
общем X11-дисплее.
|
| 34 |
|
| 35 |
Да, проблемы есть везде, но в разной мере, с разными последствиями и
|
| 36 |
рисками в зависимости от ситуации. Иногда эти различия настолько
|
| 37 |
существенны, что способны перевести лучшие практики в разряд культа
|
| 38 |
Карго. Как _на мой взгляд_ и обстоит дело с проверкой подписей файлов в
|
| 39 |
portage.
|
| 40 |
|
| 41 |
Что касается решений проблем, а вернее, способов снижения рисков до
|
| 42 |
существенно меньшего уровня и установления контроля за потенциальными
|
| 43 |
последствиями атак - они есть, но лежат в другой плоскости и предметно
|
| 44 |
их обсуждать в рамках назревающего холивара едва ли стоит. Ключевые
|
| 45 |
слова: proactive secuirty, decentralized package manager, sandboxing. |
Archives