Python-сообщество

devstacks
А, и еще насчет того, что сайт на WordPress. Я планирую собирать и другие виртуалки с другими технологиями. WordPress - удобно, быстро, просто. Не хочу тратить время на написание своего движка.

Тогда лучше идти на php-сайты - там и незнающих больше, и жаждущих больше, и слышащих слово linux впервые - тоже.

… но лучше всё же делать на openbsd , ибо на linux разве что извозчик такое не делает, а на openbsd - практически никто, и если будут задалбывать вопросами “зачем” (а они будут), говорить - “а на openbsd - не делают!”). Там как раз в снапшоты php 5.4 попал, хоть удалённых уязвимостей меньше будет

сразу фишка появится - “бЫзопаснЭЭ!”

Окей, сделаю на OpenBSD

И на Debian. Две сборки будет.

По php дал задание другому человеку. На OpenBSD будет делать.

Круто. Чем смогу, помогу, обращайтесь.

А чем апач на OpenBSD безопаснее апача на CentOS?

masterito
А чем апач на OpenBSD безопаснее апача на CentOS?

Ну, например, тем, что он в базовой системе, и до сих пор ничего опасного с ним не происходило.

И, как минимум, тем, что по умолчанию живёт в чруте
http://www.openbsd.org/faq/faq10.html#httpdchroot

Ну и всеми основными фишками, которые затрудняют типичные атаки.
http://www.openbsd.org/security.html

Да, что-то из этого есть в grsecurity для linux, но в centos ядро без grsecurity.

ну и http://www.openbsd.org/lyrics.html#53
куда же без неё

> многим может не понравиться твой конфиг…
> Хотя для нуба ок

Честно говоря, не знаю, на какую аудиторию расчитан данный срипт. Я просто регулярно настраиваю сервера с помощью него, ну и заодно поделился с народом. Всё таки скорее скрипт для опытных людей, которые могут подправить его на свой вкус, чем для нубов, для которых каждый шаг по настройке сервера сопровождается малопонятными (для них) спецэффектами.

Совсем опытные, возможно, юзают puppet, chef и подобные им штуки, но я пока не нашёл достаточно энергии чтобы изучить эти технологии и поставить их себе на службу. А скрипт этот работает как часы и позволяет за 10-15 минут получить настроенный сервер.

> Для “нуба” установка mysql, постгреса и mongo

Там, кстати, это можно настраивать переменными в начале скрипта - что ставить, а что нет.

wbt
Ну, например, тем, что он в базовой системе, и до сих пор ничего опасного с ним не происходило.

А что опасного происходило на других системах?

wbt
И, как минимум, тем, что по умолчанию живёт в чруте
http://www.openbsd.org/faq/faq10.html#httpdchroot

Что мешает настроить подобное окружение на другой системе?

wbt
Ну и всеми основными фишками, которые затрудняют типичные атаки.
http://www.openbsd.org/security.html

Вы думаете другие системы не думают о безопасности?

Я не против OpenBSD, мне очень даже нравятся BSD системы, просто в данном случае речь идет о машине для разработки - это значит, что периодически придется устанавливать дополнительное ПО, которое не учтено в базовой системе, что в случае CentOS/Debian делать гораздо проще. Я очень сомневаюсь, что кто-либо разрешит образ собранный на стороне ставить в продакшен.
Опять же - безопасность системы зависит прежде всего от грамотности человека, обслуживающего ее. Кривыми скриптами/неправильной настройкой создать уязвимость очень просто.

Отредактировано masterito (Окт. 4, 2013 11:43:41)

> А что опасного происходило на других системах?

http://ftp-master.metadata.debian.org/changelogs//main/a/apache2/apache2_2.4.6-3_changelog

А, вообще, суть в том, что самые популярные уязвимости - это переполнение буфера. Из-за сломанного пыха в дебиане (хотя там была другая уязвимость), помнится, даже vk.com на сутки гас.

> Что мешает настроить подобное окружение на другой системе?

Что мешает переизобрести openbsd? Лично для меня то, что openbsd уже существует. А вы вообще суть изоляции приложений (всех, каких возможно) поняли?

> Вы думаете другие системы не думают о безопасности?

Почему, думают. Но речь-то идёт о наборе “поставил и забыл”, где человек не знает или не хочет заниматься ещё и системным администрированием, но при этом хочет чувствовать себя защищённым. Отбить 95% атак - это уже хорошие шансы на итоговую безопасность. Secure by default.

> CentOS/Debian делать гораздо проще. Я очень сомневаюсь, что кто-либо разрешит образ собранный на стороне ставить в продакшен.

Какой продакшн? Кто вообще ЧУЖУЮ сборку будет ставить в какой-то ещё продакшн. ЦА таких решений вообще слова “продакшн” не знает (я, кстати, тоже не знаю).

А уж насчёт CentOS… пакетов в centos заметно меньше, чем в openbsd. Тот же python 2.7 поставить будет нетривиально для новичка. А уж разбираться, как epel конфликтует с remi и они сами ещё с чём-то - это погружаться в глубокое системное администрирование. Которое разработчику не особо интересно.

Да и не думаю, что в рамках данной задачи потребуется что-то там доставлять.

> Опять же - безопасность системы зависит прежде всего от грамотности человека, обслуживающего ее. Кривыми скриптами/неправильной настройкой создать уязвимость очень просто.

Сложность современных систем такова, что всё объять невозможно. И тот, кто думает, что он всё знает, потому что много выучил - банально не знает того, что появилось за последние годы. Чисто физически нельзя узнать всё. Поэтому ломают и грамотных и неграмотных. Для того и нужна модель secure by default, чтобы снизить риск без необходимости становиться экспертом по безопасности.

Chroot - можно применить где угодно - это не прерогатива OpenBSD. Уязвимость которую вы мне показали - это уязвимость пакета. Я очень сомневаюсь, что у OpenBSD community есть ресурсы,чтобы проводить всесторонний аудит каждого пакета.
Пакеты в OpenBSD зачастую не последних версий, плюс есть достаточно большой число репозиториев - так что в итоге набор ПО в CentOS значительно больше. Вы не можете предугадать наперед все пакеты, которые потребуются разработчику.
Зачем нужна безопасность на 127.0.0.1? Плюс, как я уже сказал, большинство взломов происхожит через кривые скрипты или отключение настроек безопасности пользователем потому что они мешают или потому что без них проще.

> Chroot - можно применить где угодно - это не прерогатива OpenBSD.

ага, собрать полную систему, и сделать обычный chroot. а какая разница, куда убежит злоумышленник. конечно, в linux есть cgroups, но опять же, какой прикладной софт этим пользуется? механизм, который там используется, в том же debian, по-моему, только postfix использует (хотя могу что-то путать). Ну и openssh можно на подобное натравить. Который, какое совпадение, этим самым OpenBSD Team и пишется.

> Я очень сомневаюсь, что у OpenBSD community есть ресурсы,чтобы проводить всесторонний аудит каждого пакета.

Для базовой системы - есть. Apache и Nginx входят в базовую систему.

> Пакеты в OpenBSD зачастую не последних версий

А зачастую - более последних, чем это можно представить. Я только на днях перешёл в debian sid+experimental с gnome 3.4 на gnome 3.8 + куча всего от 3.4. А в OpenBSD уже новенький, целёхонький, gnome 3.10

А иногда наличие “не последних версий” - имеет смысл. Особенно смешно, что сравнивают с Debian и EL, где уже при выходе “непоследние” версии с полугодовым-годовым опозданием.

> плюс есть достаточно большой число репозиториев - так что в итоге набор ПО в CentOS значительно больше

Это всё нетривиальная задача. в своё время я так и сидел на Scientific без python 2.7, уже не помню, что мне помешало.

> Плюс, как я уже сказал, большинство взломов происхожит через кривые скрипты или отключение настроек безопасности пользователем потому что они мешают или потому что без них проще.

Вот именно. И, поэтому, когда особо негде ничего поотключать, сложно испортить что-то по ошибке - поставил и забыл. В этом отношении OpenBSD даже проще и удобнее Слаки (для тех, кому это о чём-нибудь говорит).

И источников портов всего два - это официальный и openbsd-wip, который единственный неофициальный и вобрал в себя все (который новичку в любом случае не понадобится). Мало для кого есть удовольствие бегать искать какие-то источники, выяснять их авторов, разбирать конфликты и заниматься прочими неинтересными вещами. Поставил и забыл - вот это хорошо

Мы же ведём речь о специализированной системе, которая именно так и будет использоваться. Никто не будет такое использовать для того, чтобы, радостно задрав штаны, бегать по сторонним репозиториям и вообще разбираться, как они работают и как они могут всё сломать (а они могут, мой опыт EL4, 5, 6 говорит мне об этом