Архив метки: Linux

Про Linux-ы хорошо заходит

Добавить комментарий

Про Linux-ы хорошо заходит. 🙂 К предыдущему посту набралось много комментариев в VK. К сожалению, у меня создалось такое впечатление, что со многими комментаторами мы не сошлись во мнении из-за того, что писали о разных вещах. Поэтому ещё раз переформулирую почему я считаю, что свободный бесплатный базовый российский Linux дистрибутив нам нужен и делать его видимо лучше независимо от существующих вендоров коммерческих Linux дистрибутивов.

Я на это дело смотрю несколько со стороны. Я не CTO, не системный архитектор и даже не сисадмин. Я безопасник. Мне так-то все равно на чем строится инфраструктура. Не считаю выбор конкретных решений своей зоной ответственности. Хоть на Windows, хоть на Linux платном или бесплатном, хоть на BSD, хоть на AIX и HPUX, хоть на KasperskyOS. Я могу что-то там высказать со своей колокольни, но бизнесу и IT безусловно виднее. Моё дело разбираться как контролировать уязвимости для всего этого безобразия, как его обновлять и харденить. Есть бюллетени безопасности? Класс. Они ещё и в машиночитаемом виде? Супер! Поддерживается сканером уязвимостей? Совсем здорово!

Вместе с тем сложно не замечать тот факт, что инфраструктура больших российских (и естественно не только российских) компаний в настоящий момент по большей части состоит из Linux серверов как железных, так и виртуальных. И используемые Linux дистрибутивы по большей части бесплатные. То есть это как раз-таки Debian, CentOS (Alma/Rocky), Ubuntu. Вопрос в следующем: а на что будут заменяться конкретно эти сервера к 2025 году? Такой конкретный вопрос, остальное импортозамещение в расчет не берем.

И тут видятся следующие варианты:

1. Они вообще не будут заменяться. И тогда зависимость от, по факту, западных решений останется с понятными рисками. И регулятору в виде ФСТЭК такой вариант видимо не особо нравится, см. предыдущий пост про Методику оценки критичности уязвимостей, а конкретно про тестирование патчей для опенсурса.
2. Они будут заменяться на отечественные коммерческие сертифицированные Linux-ы со $100 за лицензию. Про сто баксов это условно, т.к. там есть конкуренция (пока) и на объемах в тысячи и десятки тысяч хостов стоимость будет пониже. Но в любом случае дополнительные затраты будут ощутимые. И это будет уже не вполне тот Linux, который мы любим, ценим и везде используем, в том числе, и из-за возможности за лицензию не платить и разворачивать столько хостов, сколько потребуется.
3. Они будут заменены бесплатным отечественным базовым Linux дистрибутивом. Как раз-таки аналогом "Debian, CentOS (Alma/Rocky), Ubuntu" в том числе и по свободности и бесплатности, но разрабатываемым в России и контролируемым из России. Могут ли российские вендоры коммерческих Linux-ов сделать и поддерживать такой дистриб, включив его в реестр российского ПО, чтобы у компаний и частных лиц была такая опция для импортозамещения? Да конечно могут. Легко! А делают они это? Нет, потому что зачем вредить своему основному бизнесу на торговле лицензиями. Если я здесь не прав и такой вендор и дистриб есть, то назовите его и "свободный бесплатный базовый российский Linux дистрибутив" это будет вот он, сам же буду за него ратовать.

Но пока выглядит, что у государства один интерес - максимально снизить зависимость в том числе от "Debian, CentOS (Alma/Rocky), Ubuntu". А у существующих вендоров коммерческих Linux-ов другой - заработать и выжить на конкурентном рынке. Интересы и цели разные.

Поэтому и приходят в голову идеи, что заниматься разработкой и поддержкой бесплатного базового Linux дистрибутива должны вообще не они, а крупные российские окологосударственные IT компании в интересах государства. Но что-то каких подвижек в эту сторону не видно и по всей видимости будет реализовываться либо вариант 1, либо вариант 2, что мне не особо нравится… Но опять же, см. второй абзац этого поста. 🙂

На эту тему можно ещё посмотреть в контексте контейнеризации, но об этом как-нибудь в следующий раз.

По поводу сегодняшнего инфоповода про Минцифры и три отечественные ОС

2 комментария

По поводу сегодняшнего инфоповода про Минцифры и три отечественные ОС.

Крамольную мысль скажу, но имхо, создание массового независимого российского Linux-дистрибутива вообще не должно быть коммерческой темой. Считаю, что государству нужно сейчас не поддерживать российские аналоги RedHat и Canonical через снижение конкуренции, а формировать российский The Debian Project.

Т.е. собрать группу разработчиков-энтузиастов, дать им денег из специального фонда (опционально замотивировать крупных российских ИТ-игроков туда донатить) и поставить им задачу поддерживать бесплатный базовый Linux дистриб не заботясь о какой-либо монетизации вообще. Пусть просто сидят и пилят на фулл-тайме то, что считают важным с точки зрения базовой функциональности и безопасности. А коммерсы пускай им контрибьютят то, что для них важно и (добровольно-принудительно) используют этот дистриб как апстрим. И вот поддержку такого базового бесплатного и свободного дистриба можно делать обязательной для разрабов прикладного ПО.

Это то, что пробуют сделать сейчас китайцы с openKylin. И такой путь через формирование и поддержку комьюнити мне кажется наиболее устойчивым и правильным.

Сделал блогпост и видяшку про мой опенсурсный проект Scanvus

1 комментарий

Сделал блогпост и видяшку про мой опенсурсный проект Scanvus. Проекту уже год и я этой утилитой практически каждый день пользуюсь. Но вот только сейчас дошли руки нормально попиарить это дело.

Scanvus (Simple Credentialed Authenticated Network VUlnerability Scanner) это сканер уязвимостей для Linux. Задача у него получить список пакетов и версию Linux дистрибутива, сделать запрос к внешнему API для получения уязвимостей (в данный момент только Vulners Linux API поддерживается) и отобразить продетектированные уязвимости в репорте.

Scanvus может показать уязвимости для

- локалхоста
- удаленного хоста по SSH
- docker-образа
- файла c инвентаризацией

Такая простенькая утилита, которая сильно упрощает жизнь при аудитах линуксовой инфраструктуры. Ну и кроме того это проект в рамках которого я могу реализовывать свои идеи по сканированию на уязвимости.

В эпизоде разбираю содержание отчета, как поставить и настроить утилиту, режимы сканирования, ну и размышляю о том можно сделать Scanvus совсем бесплатным (сейчас это интерфейс к платному Vulners Linux API).

Video: https://youtu.be/GOQEqdNBSOY
Video2 (for Russia): https://vk.com/video-149273431_456239100
Blogpost: https://avleonov.com/2022/09/17/scanvus---my-open-source-vulnerability-scanner-for-linux-hosts-and-docker-images/
Github: https://github.com/leonov-av/scanvus

В полку Linux уязвимостей позволяющих поднять привилегии до root-а прибыло

Добавить комментарий

В полку Linux уязвимостей позволяющих поднять привилегии до root-а прибыло. Встречаем DirtyCred (CVE-2021-4154 - февральская, есть PoC; CVE-2022-2588 - свежая, пока нет PoC-а). 8 лет уязвимость никто не замечал. Или замечали и использовали, но помалкивали. Естественно NVD как обычно тормозит и там нового идентификатора пока нет, но он во всю используется в бюллетенях безопасности.

Судя по описанию это уязвимость ядра, похожая на мартовскую Dirty Pipe (CVE-2022-0847), только круче, т.к. работает стабильнее:

"The novel exploitation method, according to the researchers, pushes the dirty pipe to the next level, making it more general as well as potent in a manner that could work on any version of the affected kernel."

И контейнеризация не спасает:

"Second, while it is like the dirty pipe that could bypass all the kernel protections, our exploitation method could even demonstrate the ability to escape the container actively that Dirty Pipe is not capable of."

Ну и так-то уязвимости позволяющие получить в Linux root-а появляются достаточно регулярно. Из громких можно ещё вспомнить Dirty Cow (CVE-2016-5195 - обалдеть 😱, 6 лет назад, помню как вчера как тестил) и Qualys-овские PwnKit (CVE-2021-4034) и Sequoia (CVE-2021-33909).

А что делать? Имхо, патчить. Лучше в рамках регулярного процесса, а не в пожарном режиме. Но если регулярного патчинга Linux-ов нет, то лучше разово обновиться, махая этой уязвимостью (или даже более старыми с публичными эксплоитами) как флагом. После разового упражнения будет видно какие есть проблемы с внедрением регулярного процесса, а где-то возможно получится его внедрить с наскока.

Ну или можно не патчить, обосновывая тем, что оно (вроде) не эксплуатабельно, а где эксплуатабельно, то там не критично или туда не доберутся. И из контейнера не выберутся. И вообще можно внедрить EDR на линуксах. И ещё можно попробовать мандатку настроить.

Но, имхо, оценка эксплуатабельности, харденинг и внедрение СЗИ для Linux-ов это конечно все замечательно, но основное это патчинг и прежде всего нужно разобраться именно с ним.

Вообще скверно у нас обстоят дела с awareness, если вчерашнее интервью Натальи Касперской выстреливает чуть ли не как федеральная новость

2 комментария

Вообще скверно у нас обстоят дела с awareness, если вчерашнее интервью Натальи Касперской выстреливает чуть ли не как федеральная новость. "Смартфоны в России могут быть заблокированы". Да неужели. Конечно могут! Странно предполагать, что если вы сами можете зайти на сайт Google или Apple, авторизоваться и заблочить свой потерянный/украденный смартфон/планшет, то вендор не сможет сделать то же самое по своему усмотрению и в любое время. Более того, если устройство стучится до каких-либо сервисов вендора (а оно стучится), это вполне может быть каналом скрытого управления и в т.ч. для блокировки. И с устройствами под Windows/MacOS та же история. Может только с Linux чуть получше, хотя относительно самых популярных и распространенных дистрибов я бы не стал утверждать с уверенностью. Даже до тех хостов, которые не в сети теоретически можно добраться через обновления и добавить зловредную функциональность с отложенной активацией а-ля олдскульный вирус «Чернобыль» (Virus.Win9x.CIH). Пади проверь, чего они там проносят в сотнях патчей каждый месяц. А уж сколько может быть закладок, через который можно будет проломить периметр организаций. Дух захватывает!

Короче, на случай серьезного кибер-конфликта, дело будет дрянь. Как минимум от краткосрочного эффекта мы все точно офигеем. То, что сейчас мы этого пока ещё не наблюдаем можно объяснить лишь тем, что эскалация не дошла до нужного уровня. Но то, что зарубежные недружественные вендоры, когда будет нужно, прогнутся и бахнут - вообще без вопросов. Поэтому обсуждение отечественных ОС, в том числе мобильных, или ОС дружественных стран конечно может восприниматься с некоторым скепсисом, но вообще это дело стратегически правильное и нужное, и респект тем, кто в разработке этих штук задействован.

Ну и само интервью кстати вполне годное. Хорошо сказано про сложность поиска закладок, про ограничения сертификации, про 30 лет всеобщего внедрения иностранного ПО, в т.ч. в образовании. А про смартфоны там буквально несколько слов в самом конце, с 14:46. 🙂

Продолжаю про новый китайский Linux дистрибутив openKylin

1 комментарий

Продолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylin

Продолжаю про новый китайский Linux дистрибутив openKylin. У них наконец-то заработал официальный сайт. И с этого официального сайта получилось скачать openKylin-0.7-x86_64.iso от 22 июля. Поставил вчера, немного поигрался.

Миленький такой десктопный дистрибутивчик. С китайским языком проблем нет. Нужно на стартовом экране выбрать вторую сверху опцию ("установка"), выбрать нужный язык и дальше все будет переведено. Для автоматической разбивки размер диска должены быть как минимум 50 Гб, иначе руками. При установке нельзя выбрать конфигурацию, десктопная конфигурация ставится полностью.

У openKylin 0.7 кодовое имя "yangtze" (где-то c g, где-то без g, "yantze") , видимо дальше тоже пойдут по рекам. 🙂 В качестве DE используется UKUI (форк MATE Desktop Environment), так же как в Ubuntu Kylin. Из необычного, в качестве офисного пакета ставится проприетарный WPS Office. Guest Additions для VirtualBox поставились без проблем.

В целом, вполне юзабельно. Жить можно. Насколько все это в итоге отличается Ubuntu Kylin сказать не берусь, но очень похоже на обычный deb-based дистрибутив. Упоминания Ubuntu и Debian из основных мест поубирали, но в конфигах они конечно встречаются. Версии пакетов отличаются от Ubuntu и Debian, поэтому возможно и сами собирают.

Небольшое обновление по китайским Linux дистрибам

1 комментарий

Небольшое обновление по китайским Linux дистрибам. А конкретно по openKylin.

1. Официальный сайт https://www.openkylin.top/ (на который есть ссылка с точно-точно официального https://www.kylinos.cn/) не открывается уже 4 дня. В субботу точно открывался, а сейчас выдает "504 Gateway Time-out". Я сначала думал, что может это временный сбой. Потом, что наверное закрыли доступ с некитайских ip. Обидно, но бывает. Оказалось, что и китайские проверялки сайтов его тоже не видят. Похоже просто лежит. Возможно под DDoS-ом. Сайт коммерческого дистриба https://www.kylinos.cn/ то открывается, то нет. Сегодня утром открывался, сейчас "502 Bad Gateway" (и в Китае тоже).
2. В принципе как такового дистриба openKylin пока нет. Поглядел относительно свежий снапшот на Internet Archive от 15 июля. На странице для скачивания ссылка не активна. Пишут "openKylin операционная система с открытым исходным кодом. Следите за обновлениями. Время выпуска: уточняется." А то, что можно скачать это Ubuntu Kylin и его смотреть не интересно, Ubuntu как Ubuntu.

В общем ждем настоящий openKylin и восстановление работы сайта. Там кстати форум есть и насколько можно понять из автоматического перевода там посты либо скептические, либо про "дайте уже образ". 🙂 Все как у нас.