[DONE] wml://security/2012/dsa-2452.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- ../../english/security/2012/dsa-2452.wml 2017-11-01 10:11:10.339845257 +0500 +++ 2012/dsa-2452.wml 2018-04-01 10:54:05.939764507 +0500 @@ -1,54 +1,54 @@ - -insecure default configuration +#use wml::debian::translation-check translation="1.2" mindelta="1" +небезопаÑнÑе наÑÑÑойки по ÑмолÑÐ°Ð½Ð¸Ñ - -Niels Heinen noticed a security issue with the default Apache - -configuration on Debian if certain scripting modules like mod_php or - -mod_rivet are installed. The problem arises because the directory - -/usr/share/doc, which is mapped to the URL /doc, may contain example - -scripts that can be executed by requests to this URL. Although access - -to the URL /doc is restricted to connections from localhost, this still - -creates security issues in two specific configurations: +ÐилÑÑ Ðайнен замеÑил пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи Ñ Ð½Ð°ÑÑÑойками Apache +по ÑмолÑÐ°Ð½Ð¸Ñ Ð² ÑиÑÑÐµÐ¼Ð°Ñ Debian в ÑлÑÑае, еÑли ÑÑÑÐ°Ð½Ð¾Ð²Ð»ÐµÐ½Ñ Ð¾Ð¿ÑеделÑннÑе модÑли +поддеÑжки ÑзÑков ÑÑенаÑиев, Ñакие как mod_php или mod_rivet. ÐÑоблема Ð²Ð¾Ð·Ð½Ð¸ÐºÐ°ÐµÑ Ð¸Ð·-за +Ñого, ÑÑо каÑалог /usr/share/doc, коÑоÑÑй оÑобÑажаеÑÑÑ Ð² URL /doc, Ð¼Ð¾Ð¶ÐµÑ ÑодеÑжаÑÑ Ð¿ÑÐ¸Ð¼ÐµÑ +ÑÑенаÑиев, коÑоÑÑе могÑÑ Ð±ÑÑÑ Ð²ÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ñ Ð¿ÑÑÑм оÑпÑавки запÑоÑов по ÑÑÐ¾Ð¼Ñ URL. ХоÑÑ Ð´Ð¾ÑÑÑп +к URL /doc огÑаниÑиваеÑÑÑ ÑоединениÑми Ñ Ð»Ð¾ÐºÐ°Ð»Ñного Ñзла, ÑÑо вÑÑ Ñавно +ÑоздаÑÑ Ð¿Ñоблема безопаÑноÑÑи пÑи двÑÑ ÑказаннÑÑ ÐºÐ¾Ð½ÐºÑеÑнÑÑ Ð½Ð°ÑÑÑÐ¾Ð¹ÐºÐ°Ñ : - -if some front-end server on the same host forwards connections to an - -apache2 backend server on the localhost address, or +еÑли внеÑний ÑеÑÐ²ÐµÑ Ð½Ð° Ñом же Ñзле пеÑенапÑавлÑÐµÑ Ð¿Ð¾Ð´ÐºÐ»ÑÑÐµÐ½Ð¸Ñ Ð½Ð° +внÑÑÑенний ÑеÑÐ²ÐµÑ apache2 по адÑеÑÑ Ð»Ð¾ÐºÐ°Ð»Ñного Ñзла, либо - -if the machine running apache2 is also used for web browsing. +еÑли маÑина, на коÑоÑой запÑÑен apache2, Ñакже иÑполÑзÑеÑÑÑ Ð¸ Ð´Ð»Ñ Ð¿ÑоÑмоÑÑа веб-ÑÑÑÐ°Ð½Ð¸Ñ Ð² ÐнÑеÑнеÑе. - -Systems not meeting one of these two conditions are not known to be - -vulnerable. The actual security impact depends on which packages (and - -accordingly which example scripts) are installed on the system. - -Possible issues include cross site scripting, code execution, or - -leakage of sensitive data. - - - -This updates removes the problematic configuration sections from the - -files /etc/apache2/sites-available/default and .../default-ssl. When - -upgrading, you should not blindly allow dpkg to replace those files, - -though. Rather you should merge the changes, namely the removal of the - -Alias /doc "/usr/share/doc" line and the related Directory - -"/usr/share/doc/" block, into your versions of these config files. - -You may also want to check if you have copied these sections to any - -additional virtual host configurations. - - - -For the stable distribution (squeeze), this problem has been fixed in - -version 2.2.16-6+squeeze7. - - - -For the testing distribution (wheezy), this problem will be fixed in - -version 2.2.22-4. +ÐеизвеÑÑно, подвеÑÐ¶ÐµÐ½Ñ Ð»Ð¸ Ñказанной ÑÑзвимоÑÑи ÑиÑÑемÑ, не ÑдовлеÑвоÑÑÑÑие +Ð¾Ð´Ð½Ð¾Ð¼Ñ Ð¸Ð· пÑиведÑннÑÑ ÑÑловий. ФакÑиÑеÑкое влиÑние на безопаÑноÑÑÑ ÑиÑÑÐµÐ¼Ñ Ð·Ð°Ð²Ð¸ÑÐ¸Ñ Ð¾Ñ Ñого, +какие пакеÑÑ (ÑооÑвеÑÑÑвенно, и какие пÑимеÑÑ ÑÑенаÑиев) ÑÑÑÐ°Ð½Ð¾Ð²Ð»ÐµÐ½Ñ Ð² ÑиÑÑеме. +СÑеди возможнÑÑ Ð¿Ñоблем можно назваÑÑ Ð¼ÐµÐ¶ÑайÑовÑй ÑÑÑипÑинг, вÑполнение кода и +ÑÑеÑÐºÑ ÑÑвÑÑвиÑелÑнÑÑ Ð´Ð°Ð½Ð½ÑÑ . + +Ðанное обновление ÑдалÑÐµÑ Ð¿ÑоблемнÑе ÑÐ°Ð·Ð´ÐµÐ»Ñ Ð½Ð°ÑÑÑойки из +Ñайлов /etc/apache2/sites-available/default и .../default-ssl. ÐÑи +обновлении вам не ÑледÑÐµÑ Ð²ÑлепÑÑ ÑазÑеÑаÑÑ dpkg замениÑÑ ÑказаннÑе ÑайлÑ. +СкоÑее вам ÑледÑÐµÑ ÑлиÑÑ Ð¸Ð·Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ, в ÑаÑÑноÑÑи, Ñдаление ÑÑÑоки +Alias /doc "/usr/share/doc" и ÑвÑзаннÑй Ñ Ð½ÐµÐ¹ блок Directory +"/usr/share/doc/" Ñ Ð²Ð°Ñими веÑÑиÑми ÑÑÐ¸Ñ Ñайлов наÑÑÑойки. +ÐÑоме Ñого, вам Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾ÑÑебоваÑÑÑÑ Ð¿ÑовеÑиÑÑ, бÑли ли ÑказаннÑе ÑÐ°Ð·Ð´ÐµÐ»Ñ ÑкопиÑÐ¾Ð²Ð°Ð½Ñ Ð² +какие-либо
Re: Нюансы взаимодействия ZFS
31.03.2018 11:33, Eugene Berdnikov пишет: > On Sat, Mar 31, 2018 at 12:07:23AM +0300, artiom wrote: >>> Теперь вопросы: >>> >> Отвечу на свои же вопросы. >> >>> - Как желательно располагать ZFS разделы относительно разделов LUKS? >>> Сейчас ОС на ZFS, который на LUKS. >>> И это правильно, чтобы не усложнять. >>> Но здесь не важна производительность. >>> А как располагать swap и slog: поверх LUKS или наоборот (как в мануале)? >> >> - Прямое копирование на диск блоками по 4 MB: 185 MB/s (dsync: 136 MB/s) >> - LUKS раздел с поддержкой команд AES-NI: 184 MB/s (dsync: 135 MB/s) >> - ZFS volume = 170 MB/s (dsync: 50 MB/s). >> - LUKS on ZFS volume = 274 MB/s (dsync: 38 MB/s). >> - ZFS on LUKS = 187 MB/s (dsync: 50 MB/s) > > Третий вариант явно выбивается по цифрам из стройного ряда, что > наводит на мысли о какой-то ошибке или опечатке. > Четвёртый. И там действительно скачет, не ясно почему (точнее, почти ясно: кэширование, но oflag=direct не помогает). Именно поэтому стоит смотреть на то, что в скобках: dsync. > Да и странно, как чистый zfs может оказаться медленнее, чем он же над LUKS. > Видимо, статистическая ошибка измерений сравнима со вторым знаком > в этих числах, либо присутствует какая-то систематика. > Если смотреть на измеренное с dsync, то меня не сильно удивляет. Я подобную картинку где-то видел: ZFS дя некоторых операций много тормознее, чем ext4, а ext4 где-то даже бьёт xfs. Стоит заметить, что в данном случае SLOG не выносился на SSD. >>> - Как организовывать шифрованный пул? >>> Опять, тот же вопрос: LUKS->ZFS или ZFS->LUKS? >>> Если ZFS->LUKS, то не придётся ли мне сделать ZFS->LUKS->ZFS, >>> чтобы использовать все возможности ZFS в пуле? >>> - Имеет ли смысл делать /boot на ZFS? Т.е., создавать для него >>> зеркальный пул? >>> >> >> Отсюда вывод: всё-таки несмотря на "заверения экспертов" располагать ZFS >> pool лучше поверх LUKS, а не наоборот. >> LUKS почти не вносит оверхед. > > Не следил за "заверениями экспертов", но, по-моему, очевидно, что > шифрование выгоднее делать на уровне, который ниже всех кэшей. > Независимо от того, какой оверхед это шифрование вносит. > Да не так и очевидно.
Re: Системы управления сервером?
artiom -> debian-russian@lists.debian.org @ Sat, 31 Mar 2018 14:18:00 +0300: >> >> >> >> За коммитами джуниоров просто присматривают вручную. Недолго, >> человек >> >> >> >> либо обучается, либо идет искать работу в другом месте. >> >> >> >> >> >> >> > Да тут вопрос не о джуниорах. Всё сложнее. Но, в любом случае, >> код >> >> >> > сложный, хотелось бы видеть, что уйдёт в репозиторий. >> >> >> >> >> >> В одной из контор у нас были любители почитать код, уходящий в >> >> >> репозиторий. Ну, репозиторий был настроен так, чтобы рассылать >> коммиты >> >> >> желающим. По почте. Тем же способом присматривали за джуниорами. >> >> >> >> >> > Примерно так и есть, но почта заменяется ccollab (или, в общем >> случае, >> >> > любым web интерфейсом), и код не проходит в репозиторий без >> одобрения. >> >> >> >> Тут важный момент - не веб или почта "код не проходит в репозиторий без >> >> одобрения". У нас проходил. Мой point в том, что проблем от этого не >> >> происходит. >> >> >> > Возможно. Надо подумать над этим. Раньше я даже не предполагал такой >> > практики. >> >> Собственно, системы управления версиями придуманы ровно для этой >> ситуации. Чтобы заменить трехслойную бюрократию ревью, которая работает >> месяц, но тоже пропускает баги, возможностью найти и откатить изменение, >> если оно оказалось неудачным. >> >> А чтобы неудачное изменение не долетело до заказчика, существует >> релизный цикл. И ревью его необходимости не отменяет. >> > Есть минусы, есть плюсы: не так легко откатить сломавшую правку из > репозитория, на которую уже понакоммитили и заложили функционал. Бывает и такое. Но мне в жизни всего однажды встретилась грабля, которую очень не сразу удалось обнаружить, не брали никакие разумные тесты, и трудоемко было потом починить. Так и не починили, кстати. Причем по крайней мере два первых ревью (два разных человека, входивших в разное время в проект, внимательно читали этот код) она тоже успешно проскочила. Ну, еще регулярно лезут подобные баги в криптопротоколах, но там вот как раз сотни, а то и тысячи ревью, а толку? Потом лет через 10-15 таки находится тысяча первый ревьюер, который таки замечает багу и делает эксплойт. А обычно бага либо легко правится, либо быстро замечается. В идеале и то, и другое. Совсем в идеале ее ловит юнит-тест еще в процессе реализации фичи, но так бывает не всегда :) >> >> >> Практика показывает, что читать код _до_ попадания в репозиторий - >> не >> >> >> очень хорошая идея. Благо репозиторий позволяет, если что, откатить. >> >> >> >> >> > Но сборки уже будут собраны и отправлены на тестирование, так не >> лучше >> >> > ли - не допустить? >> >> > Какая практика? >> >> > В чём нехорошесть данной идеи? >> >> >> >> Тормозной путь. Между моментом изменения кода и моментом, когда код >> >> будет изменен, проходит время. >> > Как минус, так и плюс. >> >> В течение этого времени в системе присутствуют и старые, и новые баги. >> Где плюс? >> > Нет, присутствуют только старые баги, которые уже известны, проверены и > одеты в пиджак, так что стали напоминать фичи. В коде они уже есть. В репозиторий еще не попали, а в коде уже есть. И поверх них уже идет работа. И не факт, кстати, что старые баги известны. Мы можем говорить о ревью, например, фикса свеженаступленной грабли. Она, может, в коде и пару лет уже, но важный заказчик наступил на нее только сегодня, а до него просто никому не приходило в голову проделать именно эту последовательность действий. > А тут новые баги, которые успеют сломать тестирование, например, в > результате чего могут не пройти другие тесты и т.п.. > На ревью есть шанс хоть что-то отсеять (да, я в курсе про юнит-тесты, > однако есть факты на практике). На практике тесты для того и существуют, чтобы баги их ломали. Один фиг, если тест сломался, то багу надо чинить. Если бага сломала сразу много тестов, починка приоритетна, и все дела. >> > Да, с прерываниями. Но сложно постоянно концентрироваться на ревью и >> > ждать ответов автора (который в этом время уже над другим работает), к >> > тому же, ревьюверов бывает несколько. >> >> Я про прерывания не процесса ревью, а про прерывания процесса своей >> работы необходимостью ревью. Для ревью надо загрузить в голову контекст >> той задачи, к которой относится просматриваемый код. Он там неизбежно >> заменит контекст своей задачи. После ревью придется снова грузить свой. >> Это время, и в случае сложной задачи весьма изрядное. От 15 минут до >> часа каждая перегрузка, а их тут две. > Ну час - это явный перебор. Это значит, у тебя все задачи простые. > А отрыв на 15 минут - не критично: вы же не соревновательным > программированием занимаетесь, надеюсь? Каждая перезагрузка. Каждое ревью. Плюс столько же потом вернуться в контекст. > Иногда вообще полезно от задачи оторваться, бывает. В моем опыте оторваться от задачи полезно, а вот заменять
[DONE] wml://security/2011/dsa-2297.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- ../../english/security/2011/dsa-2297.wml 2017-11-01 10:11:10.275841084 +0500 +++ 2011/dsa-2297.wml 2018-03-31 21:42:43.168148254 +0500 @@ -1,58 +1,58 @@ - -several vulnerabilities +#use wml::debian::translation-check translation="1.2" mindelta="1" +неÑколÑко ÑÑзвимоÑÑей - -Several vulnerabilities have been discovered in Icedove, an unbranded - -version of the Thunderbird mail/news client. +Ð Icedove, безбÑендовой веÑÑии поÑÑового и новоÑÑного клиенÑа Thunderbird, бÑло +обнаÑÑжено неÑколÑко ÑÑзвимоÑÑей. https://security-tracker.debian.org/tracker/CVE-2011-0084;>CVE-2011-0084 - - regenrecht discovered that incorrect pointer handling in the SVG - - processing code could lead to the execution of arbitrary code. + regenrecht обнаÑÑжил, ÑÑо непÑавилÑÐ½Ð°Ñ ÑабоÑа Ñ ÑказаÑелÑми в коде Ð´Ð»Ñ + обÑабоÑки SVG Ð¼Ð¾Ð¶ÐµÑ Ð¿ÑиводиÑÑ Ðº вÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð¿ÑоизволÑного кода. https://security-tracker.debian.org/tracker/CVE-2011-2378;>CVE-2011-2378 - - regenrecht discovered that incorrect memory management in DOM - - processing could lead to the execution of arbitrary code. + regenrecht обнаÑÑжил, ÑÑо непÑавилÑное ÑпÑавление памÑÑÑÑ Ð² коде Ð´Ð»Ñ + обÑабоÑки DOM Ð¼Ð¾Ð¶ÐµÑ Ð¿ÑиводиÑÑ Ðº вÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð¿ÑоизволÑного кода. https://security-tracker.debian.org/tracker/CVE-2011-2981;>CVE-2011-2981 - - moz_bug_r_a_4 discovered a Chrome privilege escalation - - vulnerability in the event handler code. + moz_bug_r_a_4 обнаÑÑжил повÑÑений пÑивилегий Chrome + в коде обÑабоÑÑика ÑобÑÑий. https://security-tracker.debian.org/tracker/CVE-2011-2982;>CVE-2011-2982 - - Gary Kwong, Igor Bukanov, Nils and Bob Clary discovered memory - - corruption bugs, which may lead to the execution of arbitrary code. + ÐаÑи Ðвон, ÐгоÑÑ ÐÑканов, ÐилÑÑ Ð¸ Ðоб ÐлÑÑи обнаÑÑжили оÑибки Ñ Ð¿Ð¾Ð²Ñеждением ÑодеÑжимого + памÑÑи, коÑоÑÑе могÑÑ Ð¿ÑиводиÑÑ Ðº вÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð¿ÑоизволÑного кода. https://security-tracker.debian.org/tracker/CVE-2011-2983;>CVE-2011-2983 - - shutdown discovered an information leak in the handling of + shutdown обнаÑÑжил ÑÑеÑÐºÑ Ð¸Ð½ÑоÑмаÑии в коде обÑабоÑки RegExp.input. https://security-tracker.debian.org/tracker/CVE-2011-2984;>CVE-2011-2984 - - moz_bug_r_a4 discovered a Chrome privilege escalation - - vulnerability. + moz_bug_r_a4 обнаÑÑжил повÑÑений пÑивилегий + Chrome. - -As indicated in the Lenny (oldstable) release notes, security support for - -the Icedove packages in the oldstable needed to be stopped before the end - -of the regular Lenny security maintenance life cycle. - -You are strongly encouraged to upgrade to stable or switch to a different - -mail client. +Ðак Ñказано в инÑоÑмаÑии о вÑпÑÑке Lenny (пÑедÑдÑÑий ÑÑабилÑнÑй вÑпÑÑк) поддеÑжка безопаÑноÑÑи +Ð´Ð»Ñ Ð¿Ð°ÐºÐµÑов Icedove в пÑедÑдÑÑем ÑÑабилÑном вÑпÑÑке должна бÑÑÑ Ð¿ÑекÑаÑена до оконÑÐ°Ð½Ð¸Ñ +обÑÑного Ñикла поддеÑжки безопаÑноÑÑи Lenny. +ÐаÑÑоÑÑелÑно ÑекомендÑеÑÑÑ Ð²ÑполниÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð»ÐµÐ½Ð¸Ðµ до ÑÑабилÑного вÑпÑÑка или пеÑейÑи на +иÑполÑзование дÑÑгого поÑÑового клиенÑа. - -For the stable distribution (squeeze), this problem has been fixed in - -version 3.0.11-1+squeeze4. +Ð ÑÑабилÑном вÑпÑÑке (squeeze) ÑÑа пÑоблема бÑла иÑпÑавлена в +веÑÑии 3.0.11-1+squeeze4. - -For the unstable distribution (sid), this problem has been fixed in - -version 3.1.12-1. +РнеÑÑабилÑном вÑпÑÑке (sid) ÑÑа пÑоблема бÑла иÑпÑавлена в +веÑÑии 3.1.12-1. - -We recommend that you upgrade your iceweasel packages. +РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ iceweasel. # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2297.data" - -# $Id: dsa-2297.wml,v 1.2 2014/04/30 07:16:25 pabs Exp $ -BEGIN PGP SIGNATURE- iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAlq/upgACgkQXudu4gIW 0qXdXA//RF3Rcd6cV7S5rnZcjAAGrFWyKUBHD5shtacLSLRPZas/MJXoAjFFabcA 3bVFct4K2eqTdoKSS46gql5UdegwLSdj2EjBGUY3pXZglPH0WlCkJasL1sSBMmd6 oq7YJiHflEmysqVUQ/hOuF8uDZkM5hby/kUakfY23zEWcR0invJlPBWRGqBgfk2O
[DONE] wml://security/2011/dsa-2305.wml
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- ../../english/security/2011/dsa-2305.wml 2017-11-01 10:11:10.279841345 +0500 +++ 2011/dsa-2305.wml 2018-03-31 21:32:27.156355140 +0500 @@ -1,49 +1,49 @@ - -denial of service +#use wml::debian::translation-check translation="1.3" mindelta="1" +оÑказ в обÑлÑживании - -Two security issue have been discovered that affect vsftpd, a lightweight, - -efficient FTP server written for security. +Ð vsftpd, ÑпÑоÑÑÐ½Ð½Ð¾Ð¼Ñ ÑÑÑекÑивном FTP-ÑеÑвеÑе, напиÑанном Ñ ÑелÑÑ Ð¾Ð±ÐµÑпеÑÐµÐ½Ð¸Ñ +вÑÑокой безопаÑноÑÑи, бÑли обнаÑÑÐ¶ÐµÐ½Ñ Ð´Ð²Ðµ пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи. https://security-tracker.debian.org/tracker/CVE-2011-2189;>CVE-2011-2189 - -It was discovered that Linux kernels 2.6.35 are considerably slower in - -releasing than in the creation of network namespaces. As a result of this - -and because vsftpd is using this feature as a security enhancement to - -provide network isolation for connections, it is possible to cause denial - -of service conditions due to excessive memory allocations by the kernel. - -This is technically no vsftpd flaw, but a kernel issue. However, this - -feature has legitimate use cases and backporting the specific kernel patch - -is too intrusive. Additionally, a local attacker requires the CAP_SYS_ADMIN - -capability to abuse this functionality. Therefore, as a fix, a kernel - -version check has been added to vsftpd in order to disable this feature - -for kernels 2.6.35. +ÐÑло обнаÑÑжено, ÑÑо ÑдÑа Linux 2.6.35 знаÑиÑелÑно медленнее пÑи вÑполнении +оÑÐ²Ð¾Ð±Ð¾Ð¶Ð´ÐµÐ½Ð¸Ñ ÑеÑевÑÑ Ð¿ÑоÑÑÑанÑÑв имÑн, Ñем пÑи Ð¸Ñ Ñоздании. Ð ÑезÑлÑÑаÑе ÑÑого, +а Ñакже поÑомÑ, ÑÑо vsftpd иÑполÑзÑÐµÑ ÑказаннÑÑ Ð²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð¾ÑÑÑ Ð´Ð»Ñ ÑлÑÑÑÐµÐ½Ð¸Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи +Ñ ÑелÑÑ Ð¿ÑедоÑÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ ÑеÑевой изолÑÑии Ð´Ð»Ñ Ñоединений, можно вÑзваÑÑ Ð¾Ñказ в обÑлÑживании +из-за вÑÐ´ÐµÐ»ÐµÐ½Ð¸Ñ ÑдÑом ÑÑезмеÑного колиÑеÑÑва памÑÑи. +Ð¢ÐµÑ Ð½Ð¸ÑеÑки ÑÑо не ÑвлÑеÑÑÑ Ð¾Ñибкой в vsftpd, ÑÑо пÑоблема ÑдÑа. Тем не менее, Ð´Ð°Ð½Ð½Ð°Ñ +ÑÑнкÑионалÑноÑÑÑ Ð¸Ð¼ÐµÐµÑ Ð²Ð¿Ð¾Ð»Ð½Ðµ легиÑимнÑе ÑÑенаÑии иÑполÑзованиÑ, а обÑаÑнÑй пеÑÐµÐ½Ð¾Ñ Ð·Ð°Ð¿Ð»Ð°ÑÑ +ÑдÑа ÑвлÑеÑÑÑ ÑеÑеÑÑÑÑ ÑложнÑм. ÐÑоме Ñого, локалÑÐ½Ð¾Ð¼Ñ Ð·Ð»Ð¾ÑмÑÑÐ»ÐµÐ½Ð½Ð¸ÐºÑ ÑÑебÑÑÑÑÑ Ð¿Ñава на +CAP_SYS_ADMIN Ð´Ð»Ñ Ð¸ÑполÑÐ·Ð¾Ð²Ð°Ð½Ð¸Ñ Ñказанной ÑÑнкÑионалÑноÑÑи. СледоваÑелÑно, Ð´Ð»Ñ Ð¸ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ +пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð² vsftpd бÑла добавлена ÑпеÑиалÑÐ½Ð°Ñ Ð¿ÑовеÑка веÑÑии ÑдÑа, ÑÑÐ¾Ð±Ñ Ð´Ð°Ð½Ð½Ð°Ñ +ÑÑнкÑионалÑноÑÑÑ Ð¾ÑклÑÑалаÑÑ Ð´Ð»Ñ ÑÐ´ÐµÑ 2.6.35. https://security-tracker.debian.org/tracker/CVE-2011-0762;>CVE-2011-0762 - -Maksymilian Arciemowicz discovered that vsftpd is incorrectly handling - -certain glob expressions in STAT commands. This allows a remote authenticated - -attacker to conduct denial of service attacks (excessive CPU and process - -slot exhaustion) via crafted STAT commands. +ÐакÑимилиан ÐÑÑÐµÐ¼Ð¾Ð²Ð¸Ñ Ð¾Ð±Ð½Ð°ÑÑжил, ÑÑо vsftpd непÑавилÑно обÑабаÑÑÐ²Ð°ÐµÑ +опÑеделÑннÑе маÑки в ÐºÐ¾Ð¼Ð°Ð½Ð´Ð°Ñ STAT. ÐÑо позволÑÐµÑ ÑдалÑÐ½Ð½Ð¾Ð¼Ñ Ð°ÑÑенÑиÑиÑиÑÐ¾Ð²Ð°Ð½Ð½Ð¾Ð¼Ñ +злоÑмÑÑÐ»ÐµÐ½Ð½Ð¸ÐºÑ Ð²ÑзÑваÑÑ Ð¾Ñказ в обÑлÑживании (ÑÑезмеÑное поÑÑебление ÑеÑÑÑÑов ЦР+и памÑÑи) Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ ÑпеÑиалÑно ÑÑоÑмиÑованнÑÑ STAT-команд. - -For the oldstable distribution (lenny), this problem has been fixed in - -version 2.0.7-1+lenny1. +РпÑедÑдÑÑем ÑÑабилÑном вÑпÑÑке (lenny) ÑÑа пÑоблема бÑла иÑпÑавлена в +веÑÑии 2.0.7-1+lenny1. - -For the stable distribution (squeeze), this problem has been fixed in - -version 2.3.2-3+squeeze2. Please note that +Ð ÑÑабилÑном вÑпÑÑке (squeeze) ÑÑа пÑоблема бÑла иÑпÑавлена в +веÑÑии 2.3.2-3+squeeze2. ÐбÑаÑиÑе внимание, ÑÑо https://security-tracker.debian.org/tracker/CVE-2011-2189;>\ - -CVE-2011-2189 does not affect the lenny version. +CVE-2011-2189 не каÑаеÑÑÑ Ð²ÐµÑÑии в lenny. - -For the testing distribution (wheezy),
Re: Системы управления сервером?
> >> >> >> За коммитами джуниоров просто присматривают вручную. Недолго, > человек > >> >> >> либо обучается, либо идет искать работу в другом месте. > >> >> >> > >> >> > Да тут вопрос не о джуниорах. Всё сложнее. Но, в любом случае, код > >> >> > сложный, хотелось бы видеть, что уйдёт в репозиторий. > >> >> > >> >> В одной из контор у нас были любители почитать код, уходящий в > >> >> репозиторий. Ну, репозиторий был настроен так, чтобы рассылать коммиты > >> >> желающим. По почте. Тем же способом присматривали за джуниорами. > >> >> > >> > Примерно так и есть, но почта заменяется ccollab (или, в общем случае, > >> > любым web интерфейсом), и код не проходит в репозиторий без одобрения. > >> > >> Тут важный момент - не веб или почта "код не проходит в репозиторий без > >> одобрения". У нас проходил. Мой point в том, что проблем от этого не > >> происходит. > >> > > Возможно. Надо подумать над этим. Раньше я даже не предполагал такой > > практики. > > Собственно, системы управления версиями придуманы ровно для этой > ситуации. Чтобы заменить трехслойную бюрократию ревью, которая работает > месяц, но тоже пропускает баги, возможностью найти и откатить изменение, > если оно оказалось неудачным. > > А чтобы неудачное изменение не долетело до заказчика, существует > релизный цикл. И ревью его необходимости не отменяет. > Есть минусы, есть плюсы: не так легко откатить сломавшую правку из репозитория, на которую уже понакоммитили и заложили функционал. > >> >> Практика показывает, что читать код _до_ попадания в репозиторий - не > >> >> очень хорошая идея. Благо репозиторий позволяет, если что, откатить. > >> >> > >> > Но сборки уже будут собраны и отправлены на тестирование, так не лучше > >> > ли - не допустить? > >> > Какая практика? > >> > В чём нехорошесть данной идеи? > >> > >> Тормозной путь. Между моментом изменения кода и моментом, когда код > >> будет изменен, проходит время. > > Как минус, так и плюс. > > В течение этого времени в системе присутствуют и старые, и новые баги. > Где плюс? > Нет, присутствуют только старые баги, которые уже известны, проверены и одеты в пиджак, так что стали напоминать фичи. А тут новые баги, которые успеют сломать тестирование, например, в результате чего могут не пройти другие тесты и т.п.. На ревью есть шанс хоть что-то отсеять (да, я в курсе про юнит-тесты, однако есть факты на практике). > > Да, с прерываниями. Но сложно постоянно концентрироваться на ревью и > > ждать ответов автора (который в этом время уже над другим работает), к > > тому же, ревьюверов бывает несколько. > > Я про прерывания не процесса ревью, а про прерывания процесса своей > работы необходимостью ревью. Для ревью надо загрузить в голову контекст > той задачи, к которой относится просматриваемый код. Он там неизбежно > заменит контекст своей задачи. После ревью придется снова грузить свой. > Это время, и в случае сложной задачи весьма изрядное. От 15 минут до > часа каждая перегрузка, а их тут две. Ну час - это явный перебор. А отрыв на 15 минут - не критично: вы же не соревновательным программированием занимаетесь, надеюсь? Иногда вообще полезно от задачи оторваться, бывает. Другое дело, если ревью много. Тогда да, на них забивают. > > >> >> Это вот понятное употребление ревью. Очень громоздкое, но цена ошибки > >> >> там такова, что оно окупается. > >> >> > >> > В случае того, что есть сейчас, коммиты тоже обосновываются: к ним > >> > привязана задача, после чего проверяются (перед репозиторием). > >> > >> А "в случае того, что есть сейчас" непонятно, окупается ли этот > >> тормозной путь. > >> > > Продукт окупается. > > "Тормозной путь", скорее всего, да. > > Не от хорошей жизни, а из-за некоторых разработчиков и сжатых сроков. > > Вот тут уже сомнения. Если сжатые сроки, то потеря в среднем получаса > на каждое ревью... Это какие же должны быть разработчики, чтобы оно > окупалось? > Запаренные. > >> Менталитет программиста тоже интернационален. С менталитетом "кодера по > >> обезьяньей работе" хуже, но extreme programming - технология для > >> программистов. > >> > > Ну что-то мне подсказывает, что русским и китайцам ужиться будет > > несколько сложно, и не для всех эта техника подходит. > > А никто не утверждал, что для всех. А вот русский с китайцем, скорее > всего, в паре как раз неплохо уживутся. Только роли будут не > переменные, а ближе к постоянным. Китаец кодит, русский следит и > корректирует. Характерного китайца не надо подгонять, зато надо > своевременно тормозить и/или поворачивать. Тогда он будет выдавать > качественный продукт, а быстро он его и так будет выдавать. > Что-то динамика развития Китая по отношению к РФ показывает: роли меняются. :-/ > >> >> > В любом случае, если я такое (чисто теоретически) предложу > менеджеру, > >> >> > он только у виска покрутит. Это же получается, что каждый > программист > >> >> > работает, условно половину
Re: Нюансы взаимодействия ZFS
On Sat, Mar 31, 2018 at 12:07:23AM +0300, artiom wrote: > > Теперь вопросы: > > > Отвечу на свои же вопросы. > > > - Как желательно располагать ZFS разделы относительно разделов LUKS? > > Сейчас ОС на ZFS, который на LUKS. > > И это правильно, чтобы не усложнять. > > Но здесь не важна производительность. > > А как располагать swap и slog: поверх LUKS или наоборот (как в мануале)? > > - Прямое копирование на диск блоками по 4 MB: 185 MB/s (dsync: 136 MB/s) > - LUKS раздел с поддержкой команд AES-NI: 184 MB/s (dsync: 135 MB/s) > - ZFS volume = 170 MB/s (dsync: 50 MB/s). > - LUKS on ZFS volume = 274 MB/s (dsync: 38 MB/s). > - ZFS on LUKS = 187 MB/s (dsync: 50 MB/s) Третий вариант явно выбивается по цифрам из стройного ряда, что наводит на мысли о какой-то ошибке или опечатке. Да и странно, как чистый zfs может оказаться медленнее, чем он же над LUKS. Видимо, статистическая ошибка измерений сравнима со вторым знаком в этих числах, либо присутствует какая-то систематика. > > - Как организовывать шифрованный пул? > > Опять, тот же вопрос: LUKS->ZFS или ZFS->LUKS? > > Если ZFS->LUKS, то не придётся ли мне сделать ZFS->LUKS->ZFS, > > чтобы использовать все возможности ZFS в пуле? > > - Имеет ли смысл делать /boot на ZFS? Т.е., создавать для него > > зеркальный пул? > > > > Отсюда вывод: всё-таки несмотря на "заверения экспертов" располагать ZFS > pool лучше поверх LUKS, а не наоборот. > LUKS почти не вносит оверхед. Не следил за "заверениями экспертов", но, по-моему, очевидно, что шифрование выгоднее делать на уровне, который ниже всех кэшей. Независимо от того, какой оверхед это шифрование вносит. -- Eugene Berdnikov