Security

Материал из ALT Linux Wiki

ALT Linux Security

Состояние

Безопасность, которая не состояние, а процесс -- зависит от того, что было сделано для обеспечения целостности установленной системы при подготовке базового дистрибутива, в рамках обновлений к нему, а также силами локального администратора.

По первой части базовая система ALT сопоставима с такими специализированными на безопасности дистрибутивами, как Owl GNU/*/Linux, включая множество оригинальных доработок (например, размещение большинства сервисов в chroot, зачастую с понижением и разделением привилегий; защищённая glibc с дополнительно портированной дополнительной функциональностью из OpenBSD libc, что приводит к использованию более безопасных функций рассчитанными на это программами).

По части же обновлений на данный момент можно говорить о том, что поддержка безопасности пакетной базы Sisyphus, стабильных веток и выпусков осуществляется силами ООО "Базальт СПО" и заинтересованных майнтейнеров ALT Linux Team при общей координации ldv@ и glebfm@.

Следует в явном виде сказать, что поддержка обновлениями предыдущей стабильной ветки официально довольно быстро (в течение полугода) прекращается после выхода очередной стабильной ветки (фактически длительность базовой поддержки гораздо больше).

Не следует также рассчитывать на поддержку произвольных пакетов. При необходимости гарантированной поддержки следует взвесить и выбрать варианты:

  • подписания договора о предоставлении техподдержки с кем-либо из поставщиков решений на базе Sisyphus;
  • оговаривания с майнтейнерами критичных пакетов возможности и условий оперативного гарантированного предоставления обновлений;
  • поддержания безопасности требуемой части пакетной базы своими силами (желательно при этом включиться в team и предоставлять исправления для публикации в репозитории для пользы коллег);
  • выбора другого дистрибутива с применением к нему вышеизложенного (с очевидной коррекцией).

Рекомендации

NB: 2006 год

Майнтейнеру

Если нашлось время исправить проблемы безопасности (или серьёзные -- функциональности) в пакете, который был собран для выпущенных дистрибутивов, то было бы неплохо опубликовать исправление. Сделать это возможно несколькими путями:

  • собрать в стабильную ветку репозитория;
  • разместить у себя (многие имеют свои хостинговые возможности);
  • разместить на people.

Разница примерно такая:

  • у себя вы вольны публиковать, разумеется, что захотите и анонсировать, как заблагорассудится;
  • на people -- примерно то же, хоть и чуточку официальней;
  • срочные и проверенные в силу критичности обновления можно заливать прямо в репозиторий; если не уверены, лучше сперва обкатать в виде тестового сборочного задания (ssh git.alt build --test-only ... с анонсом/просьбой).

Ссылки