Эта страница была перенесена на altlinux.org. Текст на freesource.info заморожен.
ALT Linux Security
Состояние
Безопасность, которая не состояние, а процесс — зависит от того, что было сделано для обеспечения целостности установленной системы при подготовке базового дистрибутива, в рамках обновлений к нему, а также силами локального администратора.
По первой части базовая система ALT Linux сопоставима с такими специализированными на безопасности дистрибутивами, как Owl GNU/*/Linux, включая множество оригинальных доработок (например, размещение большинства сервисов в chroot, зачастую с понижением и разделением привилегий; защищённая glibc с дополнительно портированной дополнительной функциональностью из OpenBSD libc, что приводит к использованию более безопасных функций рассчитанными на это программами).
По части же updates на данный момент можно говорить о том, что поддержка безопасности пакетной базы ALT Linux Sisyphus и выпусков осуществляется на общественных началах — силами лично Дмитрия Левина и заинтересованных майнтейнеров.
При этом существуют [-1] следующие рекомендации системным администраторам и разработчикам по работе с проблемами безопасности пакетов ALT, до сих пор не вызвавшие противоречий:
Далее последовало уточнение, а заодно и разъяснение многих затронутых моментов (стоит прочитать всё письмо):
Следует в явном виде сказать, что поддержка предыдущей стабильной версии очень быстро (в течение месяца-двух максимум) прекращается практически полностью после выхода очередной стабильной версии Master. Не следует также рассчитывать на поддержку произвольных пакетов — для Master 2.4, например, вероятность сопровождения пакетов из секции main выше, чем из contrib, но также не достигает 100%. При необходимости гарантированной поддержки следует взвесить и выбрать варианты:
подписания договора о предоставлении техподдержки с кем-либо из поставщиков решений на базе Sisyphus;
оговаривания с майнтейнерами критичных пакетов возможности оперативного гарантированного предоставления обновлений;
поддержания безопасности требуемой части пакетной базы своими силами (желательно при этом включиться в team и предоставлять исправления для публикации в updates для пользы коллег);
выбор другого дистрибутива с применением к нему вышеизложенного (с очевидной коррекцией).
Надо также отметить, что с весны 2005 года в security-announce@ движения не наблюдается; этому было дано пояснение (по памяти) «решено, что апдейты важнее анонсов апдейтов, если времени хватает на одно из двух» (см. тж. это и это письма). С декабря 2005 года существует рассылка security-team@, предназначенная для синхронизации действий тех, кто решил заняться обеспечением безопасности пакетов ALT Linux.
Майнтейнеру
Если нашлось время исправить проблемы безопасности (или серьёзные — функциональности) в пакете, который был собран для выпущенных дистрибутивов, то было бы неплохо опубликовать исправление. Сделать это возможно несколькими путями:
разместить у себя (многие имеют свои хостинговые возможности);
у себя вы вольны публиковать, разумеется, что захотите и анонсировать, как заблагорассудится;
на people — примерно то же, хоть и чуточку официальней;
пакеты, предлагаемые в /incoming/backports/, при наличии в них исправлений серьёзных проблем следует снабжать ясным указанием на это в %changelog и желательно анонсировать в backports@ (см. тж. backports policy);
срочные и проверенные в силу критичности обновления можно заливать прямо в /incoming/updates/{2.3,2.4,3.0}/; если не уверены, лучше сперва обкатать в backports (с анонсом/просьбой).