[Sysadmins] I: regular-rescue.iso += forensic mode
Здравствуйте. ALT Linux Rescue пополнился вариантом загрузки forensic mode, в котором не производится автоматическая сборка программных массивов и LVM, не подключаются сами собой свопы, а ФС всё так же монтируются вручную или скриптом mount-system, который в таком режиме переключается на использование опций ro,loop для того, чтобы не повредить данные в неотыгранном журнале ФС. Эти меры предназначены для избежания влияния на данные на краю доступности. Для противодействия возможности атаки на спасательное окружение со стороны недоверенного носителя реализована передача и сверка контрольной суммы rescue squashfs (патчи Максима Суханова и ldv@). Ну и набор утилит потихоньку пополняется да утряхивается. http://altlinux.org/rescue http://en.altlinux.org/rescue -- WBR, Michael Shigorin / http://altlinux.org -- http://opennet.ru / http://anna-news.info ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] VZ vs LXC
Ср, 30 апр 2014, 13:06, Anton Farygin: А не выгоднее ли изолировать процессы другими способами ? Сейчас же есть как минимум два инструмента, позволяющих очень жёстко изолировать процессы от хост системы. SELinux и механизмы LXC (которыми, кстати, частично пользуется systemd) «Механизмы LXC» — это ведь те же самые механизмы, которые использует OpenVZ. Кстати, vzctl у нас давно уже работает на свежих ядрах. Но в режиме ограниченной функциональности, конечно. И эти же механизмы использует docker-io. И ip netns, кстати, тоже. Причём, ip netns из коробки умеет не только сетевые namespace-ы, но и монтирует /etc/netns/ns/resolv.conf в /etc/resolv.conf в отдельном mount namespace! Очень рекомендую. Предлагаю с этим в sysadmins@. -- ~dd ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openssl Heartbleed Bug
09.04.2014, 21:37, Michael A. Kangin m...@complife.ru: 08.04.2014 21:43, Anton Farygin пишет: Найдена уязвимость в openssl: Простите за глупые вопросы, а всякие-там openvpn'ы это тоже затрагивает? Дополнение: если есть директива tls-auth, то нет. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openssl Heartbleed Bug
В Ср, 30/04/2014 в 23:09 +0600, Vladimir Kamarzin пишет: 09.04.2014, 21:37, Michael A. Kangin mak@: 08.04.2014 21:43, Anton Farygin пишет: Найдена уязвимость в openssl: Простите за глупые вопросы, а всякие-там openvpn'ы это тоже затрагивает? Дополнение: если есть директива tls-auth, то нет. Только если есть гарантия, что ключ TLS-auth не ушёл. Т.е., с учётом того, что при использовании tls-auth этот ключ должен быть у _каждого_ из клиентов - только при наличии полного доверия к _каждому_ из клиентов. См. https://community.openvpn.net/openvpn/wiki/heartbleed , последний пункт. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] Свой репозитарий и gpg подпись
Здравствуйте. А подскажите как можно заставить апт не проверять подпись для репозитария? Или другой путь на поднятие своего репозитария. Создал репозитарий (http://www.altlinux.org/APT_%D0%B2_ALT_Linux/CreateRepository) но он для него проверяет подпись и не хочет обновлятся. Ошибка http://builder.tanhost.com x86_64 release no signatures in file /var/lib/apt/lists/partial/builder.tanhost.com_p7_x86%5f64_base_release Получено 403B за 0s (31,2kB/s). Невозможно получить http://builder.tanhost.com/p7/x86_64/base/release no signatures in file /var/lib/apt/lists/partial/builder.tanhost.com_p7_x86%5f64_base_release Если в скрипт обновления метаданных добавить ключик -s (genbasedir -s --bloat --progress --topdir=$REPO_DIR $arch $REPO_NAME) то ругается что не тот ключ. -- С уважением, Валентин Росавицкий ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Свой репозитарий и gpg подпись
On 01.05.2014 01:56, Валентин Росавицкий wrote: Здравствуйте. А подскажите как можно заставить апт не проверять подпись для репозитария? Или другой путь на поднятие своего репозитария. Создал репозитарий (http://www.altlinux.org/APT_%D0%B2_ALT_Linux/CreateRepository) но он для него проверяет подпись и не хочет обновлятся. Ошибка http://builder.tanhost.com x86_64 release no signatures in file /var/lib/apt/lists/partial/builder.tanhost.com_p7_x86%5f64_base_release Получено 403B за 0s (31,2kB/s). Невозможно получить http://builder.tanhost.com/p7/x86_64/base/release no signatures in file /var/lib/apt/lists/partial/builder.tanhost.com_p7_x86%5f64_base_release Если в скрипт обновления метаданных добавить ключик -s (genbasedir -s --bloat --progress --topdir=$REPO_DIR $arch $REPO_NAME) то ругается что не тот ключ. а в sources.list что написано ? man sources.list не ответит на вопрос ? ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
