problema doide 1 che se sgovni ediniia hdd koito beshe za proksi i vsichko ot nachalo i 2 ot iptables triabvashe da se pishe nanovo za 2 mashina i v burzinata ne beshe dadeno ignore all a ne che ne sa mogli da si instalirat ili konfigurirat mrezhata
[Otgovori na tozi komentar]
Kum: Kum: Kum: SHegichka Kum: Kum: Kakvi OS
Ot: zritel
Na: 18-12-2004@18:41 GMT+2
Otsenka: 1/NeutralenOtnosno operatsionnite sistemi na uchastnitsite, dokolkoto vidiah imashe Fedora, Mandrake, Slack, i kolkoto stranno da izglezhda - imashe edin Wi nXP!!!
A za mashinite, koito triabvashe da budat probiti - Debian, Vin - nepachvan, FreeBSD(sus ekploitabul versiia na SSH - dosta stara). Gateway -ut beshe s Debian. Organizatorite se biaha pogrizhili tezi mashini da budat maksimalno uiazvimi, zashtoto vse pak vremeto za "hakvane" beshe samo 2 chasa. I vupreki tova uchastnitsite uspiaha da probiiat samo 3 uslugi.
Prez povecheto vreme vnimanieto na uchastnitsite beshe susredotocheno vurhu tursene na eksploiti, vupreki che imashe survisi, koito mozheshe da budat probiti dosta lesno bez pomoshtta na taliva.
Vuzmozhnite "dupki" v sigurnostta na niakoi uslugi biaha poveche ot edna - Georgi CHorbadzhiiski, 'bez da iska" razbra parolata na edna ot uslugite, vupreki che ne beshe sustezatel :)
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: SHegichka Kum: Kum: Kakv
Ot: the_real_maniac
Na: 18-12-2004@22:02 GMT+2
Otsenka: 1/Neutralen"Fedora, Mandrake, Slack, i kolkoto stranno da izglezhda - imashe edin Wi nXP!!!"
Za men tova si e napulno neseriozno.
Ne che se ochakvashe neshto interesno :)
No vse pak ochakvah i iznenadi :)
SHTE vidim pulniia "doklad" / report :D
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: SHegichka Kum: Kum:
Ot: Beco <vlk__at__lcpe< dot >uni-sofia< dot >bg>
Na: 19-12-2004@9:56 GMT+2
Otsenka: 2/Ostroumen/Smeshen
Ti si patologichen sluchai... Vzlom v edna sistema se pravi s instrumenti, a ne s operatsionna sistema.
Da ne govorim, che ako biaha po-umni instalirashtite Fedora, shtiaha da slozhat mashina primamka (aktivirat targeted SELinux, praviat root nikoi, postavia se niakakuv probit demon v chroot) i da gubiat vremeto na drugia otbor v bezmisleni ataki i probivi v nishtoto. Pri poveche nahodchivost mozhe da se napravi taka, che da se napodobi dori iztrivaneto na failova sistema, koeto e neveroiatno gadniarski nomer.
Sushto taka... Mozheshe da se redirektvat portove kum mashina "cherna dupka" (blackhole) v/u koiato da ima edna read only failova sistema i mashinata, koiato e tsel na atakata da pravi redirektvane kum port na chernata dupka za niakoi uslugi i prochie i taka da ne se znae koia usluga kude e - tova mozhe da oburka totalno atakuvashtiia.
Izobshto.. ima kakvo oshte da se zhelae.
Tupotiia No.1 (tip "kvaratalen haker" i "IRC geroi") : az skaniram edin IP adres - znachi az skaniram edna mashina
Tupotiia No.2 (tip "selski ergen ot gradski tip") : vliaza li kato root - moga da napravia vsichko
Tupotiia No.3 (tip "administrator na kvartalen LAN") : vsichko, koeto vizhdam v mashinata, v koiato sum vliazal e istinsko
Tupotiia No.4 (tip "administrator na free survur") : atakuvaiki web survura na drugarcheto ne mislia za sobstveniia si web survur ili po narodnomu "vizhdam treskata v chuzhdoto oko, no ne i gredata v svoeto"..
i t.n.. veseliia predi Koleda
Redaktiran na: 19-12-2004@10:07
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: SHegichka Kum:
Ot: the_real_maniac
Na: 19-12-2004@11:41 GMT+2
Otsenka: 1/Neutralen1.Neshtata zavisiat estestveno ot zadkompyuturnoto u-vo / potrebitelia - DA(!), taka e. Niama spor.
2.NO sushto taka i ot OS-a.
Debian , Gentoo mnogo po-dobur izbor pred Fedora ili Mandrake (spored men) za slucheia.
Samata orientatsiia na Operatsionnata Sistema opredelia i razvitieto na potrebitelia.
Gentoo - niama smisul da ti obiasniavam , zashtoto sum 99% siguren , che znaesh kakvi vuzmozhnosti predostavia.
Tazi dist. (kato znaesh) e orientirane kum installation ot source ( t.e source-based). Edin takuv podhod te kara da izuchish neshtata poveche ot man emerge(emerge prog) / samo potrebitel /, ami i da razbirash kakvo vsushtnost stava. Kak rabotiat neshtata.
Debian - mnogo se e izpisalo , edva li az shte moga da go napisha po-dobre. Puk i sus sigurnost ti znaesh poveche argumenti ot men.
Mandrake , Fedora - emi za men tova e neseriozno. Mozhe bi e greshka - ok, no RH -> fedora ne kara potrebitelia da se zamislia mnogo , mnogo - ami mu dava e tova GUI, e tova GUI za onova i gotovo. Ne kara potrebitelia da vnikne v neshtata.
Estestveno Fedora, Mandrake e Linuks - DA!
Mozhe da si kompilirash iadroto s ( podruzhka na ) SeLinux i t.n ... NO koe shte ti e po-lesno i po-udobno. Dori da go kazhem "po-optimizirano" za rabota , a v konkretniia sluchei.?
Gentoo / Debian / Fedora / Mandrake ?
Da mozhesh da napravish vsicho - tova sa vse Linuks OS , no zashto triabva da preobrazuvash neshto , a ne polzvash tova, koeto e suzdadeno s takava tsel. Ili napravo Gentoo Hardned (ili Gentoo + hardned-sources (iadro)), Adamantix (za koito naposleduk se zagovori mnogo).
Pochvam da se povtariam , no ... kakvo novo da ti kazha , koeto ne go znaesh.
Otnosno patologichniia sluchei - ti znaesh li kakvo e tova (ne se zaiazhdam).?
"Bolezneno otklonenie ot normalnoto."
Ako tvoeto mnenie ili vseobshtoto e "normalnoto" to moeto 'otkloenie' e napulno normalno ;)
Tui kato vsichki sme unikalni => lichni mneniia / razlichni mneniia :P
Otnosno:
--- Sveto Evangelie ot MATEQ --- Glava 7 ---
3. A zashto gledash slamkata v okoto na brata si, puk gredata v svoeto oko ne useshtash?
4. Ili, kak shte kazhesh bratu si: chakai, da izvadia slamkata ot okoto ti; a puk na, v tvoeto oko ima greda!
5. Litsemeretso, izvadi purvom gredata ot okoto si, i togava shte vidish, kak da izvadish slamkata ot okoto na brata si.
------
Ne go biah chuval do predi 2 sedmitsi i ot togava mi se mudri v podpisa. Naistina dobre kazano.
---
Ochakvam otgovora Vi/ti s interes. :)
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: Kum: SHegichka
Ot: Beco <vlk__at__lcpe__dot__uni-sofia__dot__bg>
Na: 19-12-2004@13:54 GMT+2
Otsenka: 1/NeutralenMalko fensko go razdavash.. s mnogo predrazsudutsi i ne tolkova znaniia.
Tova za Fedora iskrenno me razsmia. Ponezhe si fen i ne si pravil nikoga kakvoto i da e sravnenie i analiz, shte si pozvolia da ti napravia edin podoben... Dai Bozhe da se nauchish i sledvashtiia put da ne se izkazvash nepodgotven.
Proektut Fedora se rukovodi na praktika ot Alun Koks i povecheto idei i nasoki za razrabotkata na distributsiiata idvat ot nego. Ako ne znaesh koi e toi i kakva e roliata mu v Linuks obshtnostta si e v tvoi tragichen minus.
Proektut predi vsichko zalaga na sigurnostta. Da me proshtavash, no na internet stranitsata na proekta vednaga se nabiva tsifroviia otpechatuk na publichniia klyuch ot OpenPGP sertifikata na proekta - neshto, koeto pri drugite distributsii e niakude v ugula ili izobshto horata ne se grizhat za tova. Proektut idva s paketna sistema, koiato e integrirana s neierarhichen udostoveritelen model (kazvam integrirana, a ne tip Gentoo, kudeto elektronniia podpis e otdelno ot paketa i e tip "k'uv da e podpis"). Pri RPM podpisut e vutre v paketa. Tova e edno neveroiatno ulesnenie - to nosi osven sigurnost i preventsiia na kolizii i vuzmozhnost za rabora s paketi podpisvani ot razlichni udostoveriteli, pri tova vsichko e avtomatizirano.
V ramkite na paketnata sistema na Fedora (che i na Mandrake) niama podobni kitni selianii kato vzimane na "k'uv da e pach" ot niakude si bez da se znae proizhoda mu i prilaganeto mu. Podobni neshta sa v razrez s modela na sigurnost i v tazi distributsiia miasto za podobni kretenizmi niama.
Ima vuzmozhnost za repodpisvane na paketa i prochie. Ima vuzmozhnost za izpolzvane na razlichni hranilishta s razlichni udostoveriteli i sistema za onaslediavane na doverie.
Edno mnogo dobro revyu na RPM mozhe da bude namereno na slednite adresi:
http://www.redhat.com/magazine/001nov04/features/betterliving/
http://www.redhat.com/magazine/002dec04/features/betterliving-part2/
SHTo se kasae do modela za izgrazhdane na paketite.. Tova, che niakakva distributsiia izgrazhda paket ot sors po vreme na instalatsiiata na paketa, izobshto ne e nikakvo predimstvo i ne e chak tolkova obuchavashto potrebitelia. Tova sa fantasmagorii. Kolkoto obuchavashto e kompiliraneto na paket po shemata configure -> make -> make install. Potrebiteliat zauchava niakolko nabora komandi i tova e. Vsichkite fenove na Gentoo predstaviat distributsiiata vse edno edva li ne potrebitelia pishe izhodniia kod na programite:) Tova sa tineidzhurski raboti.
SELinux beshe za purvi put integriran na 100% vuv Fedora. V tova otnoshenie drugite distributsii sa dogonvashti. Pri tova realizatsiiata obhvashta i paketnata sistema i to taka, che selinux obekt se instalira 1:1 kato v zhiva failova sistema (blagodarenie na CPIO ahiva, koito e v osnova na RPM). Da ne govorim, che samiiat proekt Fedora se e nael da dorazviva SELinux, za razlika ot drugi distributsii, koito samo sa polzvateli na tova.
Qdroto na Fedora e posledna duma na razrabotkite. Mozhesh da otvorish CHANGELOG na iadroto na kernel.org i da vidish kolko hora s adresi @redhat.com sa slagali novi neshta. Povecheto sa prilagani za purvi put imenno v proekta Fedora. Da ne govorim, che na prototipnoto iadro za Fedora Core 1 (koeto e ot seriiata 2.4) beshe postignat svetoven rekord po skorost na obrabotka na zaiavki ot Oracle. V momenta teche edna dosta goliama optimizatsiia na iadra 2.6 za proekta Fedora.
Sushto taka sa napravo vuv vestnikarski stil obiasneniia kak siadash i si instalirash ot izhoden kod distributsiiata. Tova se neveroiatno neprofesionalni izkazvaniia. TSelta v realna obstanovka e instalatsiiata da mine burzo i bezproblemno i sistemata da funktsionira v maskimalno kratuk srok i to napulno. Ako niakoi iska.. da si kompilira tsial den. Osobeno na po-slaba mashina shte e goliam zor i samoubiistvo. I predi sum go daval tozi primer - izliza ekploit za iadroto. Imash 10 mashini.. kakvo shte napravish, shte kompilirash na vsiaka ot tiah iadro li? Kolko vreme shte ti otneme tova?
Sushto taka e mit, che kato kompilirash neshto si na mashinata ti, to edva li ne "zalepva" po neia i raboti prekrasno. Tova sa meko kazano neistini. Optimizatsiia se pravi na baza arhitektura i na edna i sushta arhitektura s edni i sushti flagove za kompilatsiia, shte postignesh edna i sushta skorost na izpulnenie na kompiliraniia ELF, vurhu identichni po kapatsitet konfiguratsii. Imashe predi vreme edin interesen spor m/u Alun Koks i niakoi chlenove na fedora-devel lista zashto RPM paketite idvat osnovno kompilirani za i386, a niamat versii za i686. Prosto na praktika ne se pecheli goliama proizvoditelnost ot tova. Smisul ima da se pravi za glibc i kernel. Samo tam ima znachim efekt. V momenta ne moga da nameria tochno vruzkata, no mozhesh da potursish i da imash po-goliam kusmet ot men i da namerish niakude po arhivite obiasneniiata.
Az lichno poddurzham lokalno hranilishte na RPM paketi i kompiliram sam dosta neshta. Taka, che e malko naivno da si mislish, che sum prosto edin klikach na butoni za instalirane. Da ne govorim, che da napravish edin RPM rabotesht i neopasen za sistemata e malko po-goliamo izkustvo, otkolkoto da kompilirash. Nai-malkoto triabva da poznavash arhitekturata na distributsiiata mnogo mnogo dobre, za da ne mazhesh. Malko sa horata, koito praviat mnogo dobri RPM paketi (Dag Wieers primerno). Az ne smiatam, che sum dostignal tiahnoto nivo, no nishto ne mi prechi da se staraia da go dostigna.
A za grafichnite instrumenti za konfigurirane.. stiga tolkova restorantski folk. Izobshto ne e sramno ili vredno da gi ima. S povecheto ot tiah se pecheli nai-malkoto vreme. S vremeto chovek razbira, che podobni izsilvaniia i folklorni motivi ot roda na "az rabotia samo na konzola - znachi sum po-dobur ot drugite" sa smeshni i obiknoveno se kazvat ot hora, koito niamat nikakuv opit v administriraneto na sistemi. Ne e vazhen putia na konfiguratsiiata, a neinoto kachestvo. Koito ne e razbral tova, da se vurne ot nachalo i da pochva otnovo da si suzdava mirogled v/u UNIX sistemite. Vsichko drugo sa IRC polemiki i az ne mislia da padam tolkova nisko, che da se vklyuchvam v tiah.
Osven tova Mandrake Soft i RedHat (arhitektite na Fedora) prodavat mnogo dobri survurski resheniia i vlagat dosta pari za razrabotka (tiah nikoi ne gi sponsorira, no te sponsorirat OpenSource razrabotki). Ako te ne biaha guvkavi i ne predlagaha sigurni sistemi, te shtiaha da falirat pri tezi pazarna konkurentsiia na podobni resheniia. Zashtoto v IT biznesa nikoi ne se interesuva ot tsenata, a ot zdravinata. I ne mozhe fobiiata ot 2-3 ikoni v poveche da e opredeliashta za tova dali edna distributsiia e zdrava ili ne. Vuz osnova na takiva argumenti izvodi mogat da praviat samo dosta ednostranno razviti hora.
Redaktiran na: 19-12-2004@15:06
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: Kum: Kum: SHe
Ot: the_real_maniac
Na: 19-12-2004@16:48 GMT+2
Otsenka: 1/Neutralen"Malko fensko go razdavash.. s mnogo predrazsudutsi i ne tolkova znaniia."
Pochti suglasen. :)
"Tova za Fedora iskrenno me razsmia. Ponezhe si fen i ne si pravil nikoga kakvoto i da e sravnenie i analiz, shte si pozvolia da ti napravia edin podoben... Dai Bozhe da se nauchish i sledvashtiia put da ne se izkazvash nepodgotven."
Otnosno analiza si prav. Sranenie sum pravil samo m/u RedHat (ne Fedora) , Debian , Gentoo - Mandrake && Fedora samo sum vizhdal , koeto e nishto; t.e no ne e i izpolzval ;)
"Proektut Fedora se rukovodi na praktika ot Alun Koks i povecheto idei i nasoki za razrabotkata na distributsiiata idvat ot nego. /
Ako ne znaesh koi e toi i kakva e roliata mu v Linuks obshtnostta si e v tvoi tragichen minus."
...
"Proektut predi vsichko zalaga na sigurnostta. Da me proshtavash, no na internet stranitsata na proekta vednaga se nabiva tsifroviia otpechatuk na publichniia klyuch ot OpenPGP sertifikata na proekta - neshto, koeto pri drugite distributsii e niakude v ugula ili izobshto horata ne se grizhat za tova. Proektut idva s paketna sistema, koiato e integrirana s neierarhichen udostoveritelen model (kazvam integrirana, a ne tip Gentoo, kudeto elektronniia podpis e otdelno ot paketa i e tip "k'uv da e podpis"). Pri RPM podpisut e vutre v paketa. Tova e edno neveroiatno ulesnenie - to nosi osven sigurnost i preventsiia na kolizii i vuzmozhnost za rabora s paketi podpisvani ot razlichni udostoveriteli, pri tova vsichko e avtomatizirano.
V ramkite na paketnata sistema na Fedora (che i na Mandrake) niama podobni kitni selianii kato vzimane na "k'uv da e pach" ot niakude si bez da se znae proizhoda mu i prilaganeto mu. Podobni neshta sa v razrez s modela na sigurnost i v tazi distributsiia miasto za podobni kretenizmi niama.
Ima vuzmozhnost za repodpisvane na paketa i prochie. Ima vuzmozhnost za izpolzvane na razlichni hranilishta s razlichni udostoveriteli i sistema za onaslediavane na doverie."
Ne moga da dam tolkova kompetentno i taka podrobno napisano mnenie kato tebe, no moeto skromno mnenie e:
Pri Gentoo si ima md5(sum) proverka. Koeto mislia e dostatuchno da po/za -tvurdi , che koda/paketa e tozi , koito triabva da bude (nepromenen). Mozhe i da ne e tolkova suvursheno , kolkoto predstaviash segashnata versiia na RPM, no opreldeno ne e " "k'uv da e pach" ot niakude si " .!
"
Edno mnogo dobro revyu na RPM mozhe da bude namereno na slednite adresi:
http://www.redhat.com/magazine/001nov04/features/betterliving/
http://www.redhat.com/magazine/002dec04/features/betterliving-part2/
"
V interes na istinata sum go vizhdal, no chak sega shte go procheta.
"
SHTo se kasae do modela za izgrazhdane na paketite.. Tova, che niakakva distributsiia izgrazhda paketi ot sors izobshto ne e nikakvo predimstvo i ne e chak tolkova obuchavashto potrebitelia. Tova sa fantasmagorii. Kolkoto obuchavashto e kompiliraneto na paket po shemata configure -> make -> make install. Potrebiteliat zauchava niakolko nabora komandi i tova e. Vsichkite fenove na Gentoo predstaviat distributsiiata vse edno edva li ne potrebitelia pishe izhodniia kod na programite:) Tova sa tineidzhurski raboti."
Ne tolkova samoto kompilirane ot source - ami posledvashtite stupki ;)
1.Neznam dali tova go ima kato termin ili podobno, no: sledintalatsionnoto konfigurirane e razlichno ot tova pri instalirane na binaren paket - zapochva ot po-nisko stupalo. Ne kazvam , che tova e idealno za obnoviavane na mnogo mashini.
Za podruzhka na n broi mashini ili survuri - da; triabva paketirashta sistema - az lichno shte predpocheta deb/apt.
2.Opredeleno samoto kompilirane ne e goliama filosofiia , no pri instaliraneto ot source code vuznikvat poveche problemi :D -> koeto e predpostavka za nauchavaneto na neshto. (taka zvuchi dosta smeshno i neopredeleno).
"
SELinux beshe za purvi put integriran na 100% vuv Fedora. V tova otnoshenie drugite distributsii sa dogonvashti. Pri tova realizatsiiata obhvashta i paketnata sistema i to taka, che selinux obekt se instalira 1:1 kato v zhiva failova sistema (blagodarenie na CPIO ahiva, koito e v osnova na RPM). Da ne govorim, che samiiat proekt Fedora se e nael da dorazviva SELinux, za razlika ot drugi distributsii, koito samo sa polzvateli na tova.
Qdroto na Fedora e posledna duma na razrabotkite. "
Tova ne go znaeh, no ne go priemam na 100% (viara).
"Mozhesh da otvorish CHANGELOG na iadroto na kernel.org i da vidish kolko hora s adresi @redhat.com sa slagali novi neshta."
Da - zabeliazal sum.
"Povecheto sa prilagani za purvi put imenno v proekta Fedora. Da ne govorim, che na prototipnoto iadro za Fedora Core 1 (koeto e ot seriiata 2.4) beshe postignat svetoven rekord po skorost na obrabotka na zaiavki ot Oracle. V momenta teche edna dosta goliama optimizatsiia na iadra 2.6 za proekta Fedora.
Tova sushto ne go znaeh. :|
"Sushto taka sa napravo vuv vestnikarski stil obiasneniia kak siadash i si instalirash ot izhoden kod distributsiiata. Tova se neveroiatno neprofesionalni izkazvaniia. TSelta v realna obstanovka e instalatsiiata da mine burzo i bezproblemno i sistemata da funktsionira v maskimalno kratuk srok i to napulno. Ako niakoi iska.. da si kompilira tsial den. Osobeno na po-slaba mashina shte e goliam zor i samoubiistvo. I predi sum go daval tozi primer - izliza ekploit za iadroto. Imash 10 mashini.. kakvo shte napravish, shte kompilirash na vsiaka ot tiah iadro li? Kolko vreme shte ti otneme tova?"
Gore ti otgovorih i sum suglasen s teb.
"Sushto taka e mit, che kato kompilirash neshto si na mashinata ti, to edva li ne "zalepva" po neia i raboti prekrasno. Tova sa meko kazano neistini. Optimizatsiia se pravi na baza arhitektura i na edna i sushta arhitektura s edni i sushti flagove za kompilatsiia, shte postignesh edna i sushta skorost na izpulnenie na kompiliraniia ELF, vurhu identichni po kapatsitet konfiguratsii. Imashe predi vreme edin interesen m/u Alun Koks i niakoi chlenove na fedora-devel lista zashto RPM paketite idvat osnovno kompilirani za i386, a niamat versii za i686. "
... / mulchelivo suglasie
"Prosto na praktika ne se pecheli goliama proizvoditelnost ot tova. Smisul ima da se pravi za glibc i kernel. Samo tam ima znachim efekt. V momenta ne moga da nameria tochno vruzkata, no mozhesh da potursish i da imash po-goliam kusmet ot men i da namerish niakude po arhivite obiasneniiata."
Emi ne sum go kazal az: "istinata si e istina / fakta si e fakt" - Suglasen s teb. (suzheliavam che se povtariam :)) ).
"Az lichno poddurzham lokalno hranilishte na RPM paketi i kompiliram sam dosta neshta. Taka, che e malko naivno da si mislish, che sum prosto edin klikach na butoni za instalirane. Da ne govorim, che da napravish edin RPM rabotesht i neopasen za sistemata e malko po-goliamo izkustvo, otkolkoto da kompilirash. Nai-malkoto triabva da poznavash arhitekturata na operatsionnata sistema mnogo mnogo dobre, za da ne mazhesh. Malko sa horata, koito praviat mnogo dobri RPM paketi (Dag Wieers primerno). Az ne smiatam, che sum dostignal tiahnoto nivo, no nishto ne mi prechi da se staraia da go dostigna."
Otnosno napravata na paketite - potvurzhdavam , che ne e lesna rabota. Az se probvah s naparavata na deb paketi.
"A za grafichnite instrumenti za konfigurirane.. stiga tolkova restorantski folk. Izobshto ne e sramno ili vredno da gi ima. S povecheto ot tiah se pecheli nai-malkoto vreme. S vremeto chovek razbira, che podobni izsilvaniia i folklorni motivi ot roda na "az rabotia na konzola - znachi sum po-dobur ot drugite" sa smeshni i obiknoveno se kazvat ot hora, koito niamat nikakuv opit v administriraneto na sistemi. Ne e vazhen putia na konfiguratsiiata, a neinoto kachestvo. Koito ne e razbral tova, da se vurne ot nachalo i da pochva otnovo da si suzdava mirogled v/u UNIX sistemite."
Obache takova neshto ne sum kazval ! Kazvam samo ,che izpolzvaneto na GUI nai-chesto ne dava sushtata svoboda na izbor / konfugurirane,koeto dava ruchnoto.
" Vsichko drugo sa IRC polemiki i az ne mislia da padam tolkova nisko, che da se vklyuchvam v tiah."
Az puk vuobshte ne polzvam IRC , s leki izklyucheniia =< 10 puti za dosta goliam period ot vreme.
I toku shto me popitaha sushtiia tozi vupros , koito i az si zadadoh na kraia "i za kakvo tolkova pishesh ?" :)
Zashtoto opredeleno svezhdaneto neshtata do prosti ne e vodi do reshenie; no ako triabva da oprostim:
Da - 99% neshtata zavisiat ot potrebitelia. I tozi potrebitel raboti s tova, s koeto mu e nai-udobno.
No az dadoh SeLinux kato primer ,koito ne se okaza tolkova udoben za moia sluchai. (vse pak tova koeto kaza za vruzkata
m/u SeLinux i Fedora). Primerno drugite Security proekti i integratsiiata im sravnenie m/u Gentoo , Debian , Fedora , etc.
I ostavih dolnoto izrechenie za nakraia s tsel:
Naistina ti blgagodaria za otdelenoto vreme (!) i podrobnite obiasneniia, informatsiia.!(!)
(po-gornata informatsiia shte e polezna na mnogo hora, ne samo na mene).
Sled vreme shte imam poveche baza za sravnenie i poveche znaniia , togava shte moga po-dostoino da se argumentiram , a i ne
samo - vuobshte da zashtita tezata si ili potvurdia tvoita.
Spored tova, koeto az sum polzval i znam izbora e Debian / Gentoo ( Adamantix/Gentoo Hardned , koito ne sum polzval obache).
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: Kum: Kum: Ku
Ot: Beco <vlk (a) lcpe__dot__uni-sofia__dot__bg>
Na: 19-12-2004@18:25 GMT+2
Otsenka: 1/NeutralenTSitiram:
****************************************
Pri Gentoo si ima md5(sum) proverka. Koeto mislia e dostatuchno da po/za -tvurdi , che koda/paketa e tozi , koito triabva da bude (nepromenen). Mozhe i da ne e tolkova suvursheno , kolkoto predstaviash segashnata versiia na RPM, no opreldeno ne e " "k'uv da e pach" ot niakude si " .!
****************************************
Mmmmm.. ne iskam da vlizam v tezhuk spor no..
Edna MD5 ili SHA1 suma mozhe da se izpolzva samo za da se proveri dali faila e tsial i ne e povreden. No da se ustanovi identichnostta mu e nevuzmozhno po tozi metod.
Predstavi si sega, che az uspeia da probiia ogledaloto, ot koeto ti svaliash failovete, da postavia falshiv paket (primerno OpenSSH, koito sum modifitsiral za da moga da vlizam v sistemata ti). Kakuv e problemut az da izchislia MD5 sumata na failovete i da gi slozha vuv faila sus sumite. SHTom za teb MD5 sumata e merodavno dokazatelstvo za identichnostta na fail ili blok danni, to triabva da napravish seriozna preotsenka na znaniiata si. I spored men tvoiata sistema e super nesigurna - ako ti predlagash primerno na men hosting v/u tvoiata sistema, az shte podmina ofertata ti s usmivka, zashtoto tvoiata sistema niama nikakva identichnost.
Po sushtata logika niama nito edna sistema s Debian, koiato da e dokazano avtentichna. CHak sega v Debian se poiaviava sistema za elektronno podpisvane na paketi (i to oshte e unstable).
Istinata e slednata. Edna MD5 suma bez elektronen podpis vurhu neia e nai-izmamnoto neshto, koeto ima na sveta. Ne samo tova, tia e podvezhdashta, zashtoto vurhu neia niama nikakva identifikatsiia na tova koi ia e izvurshil. Zatova pri elektronnoto podpisvane na edin fail se izchisliava MD5 ili SHA1 sumata i polucheniia rezultat se podpisva s RSA ili DSA chasten klyuch (proverkata se pravi s publichniia klyuch v OpenPGP sertifikata na podpisvashtiia). Takuv podpis ima smisul.
Sega se vrushtame na paketnata sistema i smusula ot integatsiia.
Imame dva varianta na realizatsiia:
1) Podpisva se faila s MD5 sumite na paketnite failove (arhivi)
Primernata shema mozhe da se predstavi taka:
Distributora prozivezhda arhiven fail (primerno tar.gz). Izchisliava elektronniia podpis na faila i go pribavia v obsht fail ili v otdelen fail (t.e. za vseki arhiven fail ima drug otdelen fail, koito e primerno s nastavka .asc i sudurzha elektronniia podpis). Drug variant na tazi shema e distributora da poddurzha fail, v koito se pribaviat izchislenite MD5 ili SHA1 sumite na proizvedenite ot nego arhivni failove. Toi podpisva elektronno tozi fail.
Kak potrebiteliat triabva da protsedira? Potrebiteliat protsedira po sledniia nachin: sdobiva se s faila, koito sudurzha MD5 ili SHA1 sumite i elektronniia podpis vurhu nego, ili s elektronniia podpis kum arhivite, koito e v otdelen fail za vseki arhiven fail. Proveriava elektronniia podpis i sled tova instalira.
Tuk sledva edna mnogo osnovna slabost na tazi shema. Ne mozhe da se sledi sustoianieto na failovete ot arhiva sled kato te budat instalirani v sistemata. T.e. primerno instalrash OpenSSH, no sled tova ne mozhesh da kazhesh dali faila /usr/sbin/sshd primerno ne e podmenen v sobstvenata ti sistama - da, mozhesh da vzemsh pak arhiva, koito go sudurzha, da izvadish tozi fail i da go sravnish kato MD5 ili SHA1 suma s tozi v tvoiata sistema. Za tselta shte triabva da imash lokalno kopie na vsichki paketi, ako iskash da mozhesh da sledish sustoianieto na failovete ot paketa.
Edna malko po-lesna popravka e sled instaliraneto na failovete ot arhiva, za vseki arhiv da se pravi fail, koito da sudurzha MD5 ili SHA1 sumite na failovete ekstrktirani ot arhiva. Tova reshenie si e dosta tromavichno, osven tova shte ti se nalaga da podpisvash elektronno vseki fail.. pri obovniavane na sistemata.. shte se skusash da si vuvezhdash parolata za chastniia klyuch.
Nakratko tozi variant e malko ne suvsem v chas s tehnologiite i printsipite za burzina. Pri nego ima opasnost ot nasledeni kozii, no ne moga da pisha tsiala nosht za tova.
2) Variantut na paketnata sistema RPM
Sustavia se CPIO arhiv s "zhiva" failova sistema (t.e. 1:1 kakto tia shte bude kopirana spriamo posocheniia ot administratora otnositelen spriamo "/" put). Pravi se integriran podpis nad CPIO arhiva i ostanalite failove (info, pre i postinstalatsionni skriptove) i tozi podpis ostava v paketa. T.e. tova ne e dopulnitelen fail ili dopulnitelen zapis v niakakuv edinen fail. M/u drugoto na vseki fail ot "zhivata" failova sistema v CPIO se pravi MD5 suma i tia se podpiva - informatsiiata za tova se namira sushto v RPM faila.
Potrebiteliat triabva da protsedira taka: snabdiava se s OpenPGP sertfikata na distributora na paketa, instalira go v spetsialna baza (BerkeleyDB format), koiato e integrirana v RPM paketnata sistema na lokalnata mashina. Pri instalatsiiata se pravi proverka na elektronniia podpis integriran v paketa i pri nesuotetstvie ne se razreshava instalirane. TSialata informatsiia za MD5 sumite na instaliranite v sistemata failove se vlaga v bazata s danni na RPM sistemata.
Sled tova mnogo lesno i burzo mozhe da se napravi pulen analiz na avtentichnostta na instaliranite failove i mnogo lesno da se zabelezhi podmianata.
Spetsialno za RPM.. Haide da napravim edin test za proverka na integratsiiata.. Primerno za paketa bind:
$ rpm -q -vv --verify bind
D: opening db index /var/lib/rpm/Packages rdonly mode=0x0
D: locked db index /var/lib/rpm/Packages
D: opening db index /var/lib/rpm/Name rdonly mode=0x0
D: opening db index /var/lib/rpm/Pubkeys rdonly mode=0x0
D: read h# 750 Header sanity check: OK
D: ========== DSA pubkey id b44269d04f2a6fd2
D: read h# 713 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: ========== +++ bind-9.2.4-2 i386/linux 0x1
D: opening db index /var/lib/rpm/Depends create mode=0x0
D: opening db index /var/lib/rpm/Basenames rdonly mode=0x0
D: read h# 752 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: /bin/bash YES (db files)
D: Requires: /bin/sh YES (db files)
D: Requires: /bin/sh YES (cached)
D: Requires: /bin/sh YES (cached)
D: Requires: /bin/sh YES (cached)
D: Requires: /bin/sh YES (cached)
D: Requires: /bin/sh YES (cached)
D: read h# 778 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: /bin/usleep YES (db files)
D: opening db index /var/lib/rpm/Providename rdonly mode=0x0
D: read h# 207 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: bind-utils YES (db provides)
D: read h# 15 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: chkconfig YES (db provides)
D: Requires: config(bind) = 20:9.2.4-2 YES (added provide)
D: Requires: config(bind) = 20:9.2.4-2 YES (db provides)
D: read h# 72 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: fileutils YES (db provides)
D: read h# 11 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: glibc >= 2.2 YES (db provides)
D: read h# 931 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: grep YES (db provides)
D: Requires: libc.so.6 YES (db provides)
D: Requires: libc.so.6(GLIBC_2.0) YES (db provides)
D: Requires: libc.so.6(GLIBC_2.1) YES (db provides)
D: Requires: libc.so.6(GLIBC_2.1.1) YES (db provides)
D: Requires: libc.so.6(GLIBC_2.1.3) YES (db provides)
D: Requires: libc.so.6(GLIBC_2.3) YES (db provides)
D: read h# 80 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: libcrypto.so.4 YES (db provides)
D: read h# 206 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: libdns.so.16 YES (db provides)
D: Requires: libisc.so.7 YES (db provides)
D: Requires: libisccc.so.0 YES (db provides)
D: Requires: libisccfg.so.0 YES (db provides)
D: Requires: liblwres.so.1 YES (db provides)
D: Requires: libnsl.so.1 YES (db provides)
D: Requires: libpthread.so.0 YES (db provides)
D: Requires: libpthread.so.0(GLIBC_2.0) YES (db provides)
D: Requires: rpmlib(CompressedFileNames) <= 3.0.4-1 YES (rpmlib provides)
D: Requires: rpmlib(PartialHardlinkSets) <= 4.0.4-1 YES (rpmlib provides)
D: Requires: rpmlib(PayloadFilesHavePrefix) <= 4.0-1 YES (rpmlib provides)
D: read h# 87 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: sed YES (db provides)
D: read h# 922 Header V3 DSA signature: OK, key ID 4f2a6fd2
D: Requires: shadow-utils YES (db provides)
D: Requires: textutils YES (db provides)
D: opening db index /var/lib/rpm/Conflictname rdonly mode=0x0
D: closed db index /var/lib/rpm/Depends
......... c /etc/logrotate.d/named
......... c /etc/rc.d/init.d/named
..?...... c /etc/rndc.conf
........C c /etc/rndc.key
S.5....T. c /etc/sysconfig/named
......... /usr/sbin/dns-keygen
......... /usr/sbin/dnssec-keygen
......... /usr/sbin/dnssec-makekeyset
......... /usr/sbin/dnssec-signkey
......... /usr/sbin/dnssec-signzone
......... /usr/sbin/lwresd
......... /usr/sbin/named
......... /usr/sbin/named-bootconf
......... /usr/sbin/named-checkconf
......... /usr/sbin/named-checkzone
......... /usr/sbin/rndc
......... /usr/sbin/rndc-confgen
......... /usr/share/doc/bind-9.2.4
......... d /usr/share/doc/bind-9.2.4/CHANGES
......... d /usr/share/doc/bind-9.2.4/COPYRIGHT
......... d /usr/share/doc/bind-9.2.4/README
......... /usr/share/doc/bind-9.2.4/arm
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM-book.xml
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch01.html
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch02.html
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch03.html
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch04.html
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch05.html
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch06.html
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch07.html
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch08.html
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch09.html
......... d /usr/share/doc/bind-9.2.4/arm/Bv9ARM.html
......... d /usr/share/doc/bind-9.2.4/arm/Makefile
......... d /usr/share/doc/bind-9.2.4/arm/Makefile.in
......... d /usr/share/doc/bind-9.2.4/arm/README-SGML
......... d /usr/share/doc/bind-9.2.4/arm/isc.color.gif
......... d /usr/share/doc/bind-9.2.4/arm/nominum-docbook-html.dsl
......... d /usr/share/doc/bind-9.2.4/arm/nominum-docbook-html.dsl.in
......... d /usr/share/doc/bind-9.2.4/arm/nominum-docbook-print.dsl
......... d /usr/share/doc/bind-9.2.4/arm/nominum-docbook-print.dsl.in
......... d /usr/share/doc/bind-9.2.4/arm/validate.sh
......... d /usr/share/doc/bind-9.2.4/arm/validate.sh.in
......... /usr/share/doc/bind-9.2.4/misc
......... d /usr/share/doc/bind-9.2.4/misc/Makefile
......... d /usr/share/doc/bind-9.2.4/misc/Makefile.in
......... d /usr/share/doc/bind-9.2.4/misc/dnssec
......... d /usr/share/doc/bind-9.2.4/misc/format-options.pl
......... d /usr/share/doc/bind-9.2.4/misc/ipv6
......... d /usr/share/doc/bind-9.2.4/misc/migration
......... d /usr/share/doc/bind-9.2.4/misc/migration-4to9
......... d /usr/share/doc/bind-9.2.4/misc/options
......... d /usr/share/doc/bind-9.2.4/misc/rfc-compliance
......... d /usr/share/doc/bind-9.2.4/misc/roadmap
......... d /usr/share/doc/bind-9.2.4/misc/sdb
......... d /usr/share/man/man5/named.conf.5.gz
......... d /usr/share/man/man5/rndc.conf.5.gz
......... d /usr/share/man/man8/dnssec-keygen.8.gz
......... d /usr/share/man/man8/dnssec-makekeyset.8.gz
......... d /usr/share/man/man8/dnssec-signkey.8.gz
......... d /usr/share/man/man8/dnssec-signzone.8.gz
......... d /usr/share/man/man8/lwresd.8.gz
......... d /usr/share/man/man8/named-checkconf.8.gz
......... d /usr/share/man/man8/named-checkzone.8.gz
......... d /usr/share/man/man8/named.8.gz
......... d /usr/share/man/man8/rndc-confgen.8.gz
......... d /usr/share/man/man8/rndc.8.gz
......... /var/named
missing /var/named/data
missing /var/named/slaves
......... /var/run/named
D: closed db index /var/lib/rpm/Pubkeys
D: closed db index /var/lib/rpm/Conflictname
D: closed db index /var/lib/rpm/Providename
D: closed db index /var/lib/rpm/Basenames
D: closed db index /var/lib/rpm/Name
D: closed db index /var/lib/rpm/Packages
Zadachka-zakachka:) Otkriite koi failove sa promeneni:) Qsno si lichi...
Haide sega da proverim kontekstnata integratsiia sus SELinux za tozi paket:
# rpm -q --fscontext bind
/etc/logrotate.d/named system_u:object_r:etc_t
/etc/rc.d/init.d/named system_u:object_r:initrc_exec_t
/etc/rndc.conf system_u:object_r:named_conf_t
/etc/rndc.key user_u:object_r:etc_t
/etc/sysconfig/named system_u:object_r:etc_t
/usr/sbin/dns-keygen system_u:object_r:sbin_t
/usr/sbin/dnssec-keygen system_u:object_r:sbin_t
/usr/sbin/dnssec-makekeyset system_u:object_r:sbin_t
/usr/sbin/dnssec-signkey system_u:object_r:sbin_t
/usr/sbin/dnssec-signzone system_u:object_r:sbin_t
/usr/sbin/lwresd system_u:object_r:named_exec_t
/usr/sbin/named system_u:object_r:named_exec_t
/usr/sbin/named-bootconf system_u:object_r:sbin_t
/usr/sbin/named-checkconf system_u:object_r:sbin_t
/usr/sbin/named-checkzone system_u:object_r:sbin_t
/usr/sbin/rndc system_u:object_r:ndc_exec_t
/usr/sbin/rndc-confgen system_u:object_r:sbin_t
/usr/share/doc/bind-9.2.4 system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/CHANGES system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/COPYRIGHT system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/README system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM-book.xml system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch01.html system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch02.html system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch03.html system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch04.html system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch05.html system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch06.html system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch07.html system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch08.html system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM.ch09.html system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Bv9ARM.html system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Makefile system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/Makefile.in system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/README-SGML system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/isc.color.gif system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/nominum-docbook-html.dsl system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/nominum-docbook-html.dsl.in system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/nominum-docbook-print.dsl system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/nominum-docbook-print.dsl.in system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/validate.sh system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/arm/validate.sh.in system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/Makefile system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/Makefile.in system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/dnssec system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/format-options.pl system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/ipv6 system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/migration system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/migration-4to9 system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/options system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/rfc-compliance system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/roadmap system_u:object_r:usr_t
/usr/share/doc/bind-9.2.4/misc/sdb system_u:object_r:usr_t
/usr/share/man/man5/named.conf.5.gz system_u:object_r:man_t
/usr/share/man/man5/rndc.conf.5.gz system_u:object_r:man_t
/usr/share/man/man8/dnssec-keygen.8.gz system_u:object_r:man_t
/usr/share/man/man8/dnssec-makekeyset.8.gz system_u:object_r:man_t
/usr/share/man/man8/dnssec-signkey.8.gz system_u:object_r:man_t
/usr/share/man/man8/dnssec-signzone.8.gz system_u:object_r:man_t
/usr/share/man/man8/lwresd.8.gz system_u:object_r:man_t
/usr/share/man/man8/named-checkconf.8.gz system_u:object_r:man_t
/usr/share/man/man8/named-checkzone.8.gz system_u:object_r:man_t
/usr/share/man/man8/named.8.gz system_u:object_r:man_t
/usr/share/man/man8/rndc-confgen.8.gz system_u:object_r:man_t
/usr/share/man/man8/rndc.8.gz system_u:object_r:man_t
/var/named system_u:object_r:named_zone_t
/var/named/data system_u:object_r:named_cache_t
/var/named/slaves system_u:object_r:named_cache_t
/var/run/named system_u:object_r:named_var_run_t
Ako zhelaem da promenim konteksta - niama problemi, ima optsiia --recontext
Redaktiran na: 19-12-2004@18:30
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: Kum: Kum: Ku
Ot: Rumen_Yotov <rumen_yotov __@__ dir[ tochka ]bg>
Na: 19-12-2004@18:53 GMT+2
Otsenka: 1/NeutralenZdraveite,
Namesvam se tuk ne za da zashtitavam/hvalia Gentoo, a po-skoro v interes na tochnoto posochvane na faktite.
Ot okolo 2 mesetsa vsichki paketi v gentoo se podpisvat elektronno (ima tri niva na sigurnost: gpg, gpg strict, tretoto ne go pomnia kak beshe), otdelno (mnogo otdavna) ima md5-sum za proverka na tselostta na sors paketite. Ochakva se skoro da se podpisvat i eclass-paketite (bash-scripts) kum portage.
PS: Razbira se integriranostta ne e kato v Fedora/SElinux,no vurshi neobhodimata rabota.
Rumen
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: Kum: Kum: Ku
Ot: Beco <vlk__at__lcpe< dot >uni-sofia< dot >bg>
Na: 19-12-2004@19:02 GMT+2
Otsenka: 1/NeutralenPravi si:) Taka e.. ama choveka ne znaeshe tova. Da ne govorim, che ima i potrebiteli na Fedora, deto izobshto ne si proveriavat elektronnite podpisi... T.e. neshtata ne opirat samo do nalichnost na podpisi v distributsiiata, no i do gramotnostta na horata.
Primerno tova mozheshe da se eksploatira na sustezanieto. Sus sigurnost niakoi hora sa si slagali softuer ot ogledalni survuri prez vruzkata kum Internet. Ako Vasil beshe zul genii, mozheshe da napravi edin IP spufing i da nasochi horata kum niakoe podpraveno ogledalo:) Togava shteshe da stane mnogo mnogo interesno. Sus sigurnost mozheshe da pusne niakakuv element na sotsialno inzhenerstvo ot roda na : "koe ogledalo iskate da polzvate za da vi osiguria burza vruzka do nego":) I neproverkata na elektronnite podpisi shteshe da izigrae turbo losh nomer na uchastnitsite. Da ne govorim za tova, che edva li niakoi si e nosil otpechatutsi ot publichnite klyuchove na listche:)
Mozheshe da se spretne takuv zlovesht stsenarii:))) che sustezanieto shteshe da se prevurne v edna orgiia ot paketni izmami i eksploiti v printsipno zdravi versii na dadeni demoni. Mozheshe da se ralizira iztrivane na disk bez pronikvane v sistemata:)
Redaktiran na: 19-12-2004@19:06
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: Kum: Kum: Ku
Ot: Rumen_Yotov <rumen_yotov (a) dir< dot >bg>
Na: 19-12-2004@19:25 GMT+2
Otsenka: 1/NeutralenZdravei,
Sigurno sega horata shte pochnat da si kazvat, dobre che ne beshe Veso da osiguriava sustezanieto ;-) che ni be spukana rabotata.
Vse pak tova e za purvi put,a kakto se znae vsiako nachalo e trudno, no veroiatno i interesno.
Mai se natrupa dosta material za mislene/ trenirovka na budeshti uchastnitsi ;).
PS:gornite preporuki prilichat malko na stsenarii za Big Brother ;)- ne che go gledam.
Rumen
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: Kum: Kum: Ku
Ot: the_real_maniac
Na: 19-12-2004@20:22 GMT+2
Otsenka: 1/NeutralenEmi ... huh ... niamam komentar.
Za poreden put se pochustvah maluk v golemiia sviat :)
Blagodaria i na dvama Vi za informatsiiata.
I edin vupros kum Rumen:
Tursih na gentoo.org i s google, i preglezhdaiki samiia sait.
Kude ima statiia / dokumentatsiia otnosno podpisvaneto na paketite v Gentoo i izpolzvaneto na tazi vuzmozhnost v Gentoo ?
Az lichno namerih smao otkusachna informatsiia v temi ot foruma na gentoo.org.
Ako mozhesh da posochish dokument ot Gentoo/.org ili nakakvi klyuchovi dumi za tursene ?
Nai-mnogo informatsiia namerih tuk:
http://forums.gentoo.org/viewtopic.php?t=3283
http://forums.gentoo.org/viewtopic.php?t=3432
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: Kum: Kum: Ku
Ot: Rumen_Yotov <rumen_yotov__at__dir< dot >bg>
Na: 20-12-2004@6:27 GMT+2
Otsenka: 1/NeutralenZdravei,
CHestno kazano mislia, che naistina niama informatsiia za tova.
Az go vidiah/razbrah ot gentoo-dev-ML, tam be suobshteno, no niamashe pulno info kak tochno da se napravi. Za da ne tursia iz starite meili eto:
Slagash v /etc/make.conf -> FEATURES="...gpg..." i PORTAGE_GPG_DIR=... - vizh po dolu v README-to.
Tova e za da proveriava gpg-podpisite.
Samite podpisi ;) gi ima v lichnata direktoriia na carpaski: http://dev.gentoo.org/~carpaski
i poddirektoriiata: gpg.
Vizh/procheti README.
PS1:zabravih, triabva (gpg-tata)da gi preimenuvash na: pubring.gpg i pubring.gpg.asc. Az sum gi slozhil v: /etc/portage/gpg-direktoriiata.
PS2: tova e oshte ot 16-avg-2004
Uspeh
Rumen
Redaktiran na: 20-12-2004@6:56
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: Kum: Kum: Kum: Ku
Ot: .
Na: 20-12-2004@8:12 GMT+2
Otsenka: 1/NeutralenDa, no za suzhalenie tazi sistema vse oshte ne e
napulno funktsionirashta. Za sega, ako chovek iska da
e siguren v avtentichnosta na portage durvoto si,
triabva da go izteglia s
websync(emerge-webrsync) kato tsial paket. Tezi
paketi sa podpisani.
A otnosno proverkata za tsialostta na daden
instaliran paket, lesno e :
$qpkg -c -v pkg_name
primer :
$ qpkg -c -v postgresql
dev-db/postgresql-7.4.6 *
/etc/conf.d/postgresql !md5! !mtime!
1/909
---------
Za poveche podrobnosti man qpkg.
Redaktiran na: 20-12-2004@8:56
[Otgovori na tozi komentar]
Kum: Kum: Kum: Kum: Kum: Kum: Kum: Kum: Ku
Ot: SRG
Na: 20-12-2004@8:42 GMT+2
Otsenka: 1/NeutralenMalko v strani ot temata,no prosto ne moga da se sdurzha ;)
http://forums.gentoo.org/viewtopic.php?t=10934&highlight=gpg+portage
[Otgovori na tozi komentar]