Gentoo Logo

Безопасность Gentoo Linux

Содержание:

1.  Безопасность Gentoo Linux

Безопасность — первоочередной вопрос в Gentoo Linux. Обеспечение конфиденциальности и защищенности машин наших пользователей для нас крайне важно. Задача своевременного обеспечения информацией об уязвимостях системы безопасности в Gentoo Linux, а также исправлений, исключающих такие уязвимости, поставлена перед проектом безопасности Gentoo Linux — Gentoo Linux Security Project (англ.) Чтобы обеспечить быстрое профессиональное реагирование на все происшествия, связанные с безопасностью, мы напрямую работаем с поставщиками, конечными пользователями и другими проектами открытого программного обеспечения.

Документ, описывающий порядок, которому следует команда безопасности, имея дело с уязвимостями, найденными в дистрибутиве Gentoo Linux, находится на странице порядок обращения с уязвимостями (англ.).

Установка безопасной системы Gentoo

Сведения и советы по устройству безопасной системы и защите существующих систем даются в настольной книге по безопасности Gentoo.

Поддержание безопасности вашей системы Gentoo

Для поддержания актуальности исправлений системы безопасности желательно оформить подписку на получение GLSA (предупреждений по безопасности Gentoo Linux) и следовать указаниям в GLSA в каждом случае, когда у вас установлен уязвимый пакет. В качестве альтернативы, безопасность системы также можно поддерживать в актуальном состоянии, синхронизируя свое дерево портежей и обновляя каждый пакет.

Уже ведется разработка механизма обновлений только системы безопасности для включения в средства Portage. В настоящее время с помощью экспериментальной утилиты glsa-check (входит в пакет gentoolkit) можно проверить, относится ли конкретное GLSA к вашей системе (параметр -p), вывести список всех GLSA с указанием состояния исправлено/уязвимо/не подвержено (параметр -l), или наложить заданное исправление GLSA на свою систему (параметр -f).

2.  Предупреждения по безопасности Gentoo Linux (GLSA)

Предупреждения по безопасности Gentoo Linux — уведомления, которые мы рассылаем сообществу, чтобы проинформировать об уязвимостях в безопасности системы, связанных с Gentoo Linux или пакетами, находящимися в нашем хранилище портежей.

Свежие предупреждения

GLSA Severity Package Description Bug
201407-05 High dev-libs/openssl OpenSSL: Multiple vulnerabilities 512506
201407-04 Normal app-crypt/gnupg GnuPG: Denial of Service 514718
201407-03 High app-emulations/xen (and 2 more) Xen: Multiple Vunlerabilities 440768
201407-02 Normal www-plugins/adobe-flash Adobe Flash Player: Multiple vulnerabilities 516750
201407-01 Normal games-simulation/openttd OpenTTD: Denial of Service 492876
201406-36 Normal net-nds/openldap OpenLDAP: Multiple vulnerabilities 290345
201406-35 Normal net-im/openfire Openfire: Multiple vulnerabilities 266129
201406-34 Normal kde-base/kdelibs KDE Libraries: Multiple vulnerabilities 358025
201406-33 Normal net-analyzer/wireshark Wireshark: Multiple vulnerabilities 503792

За полным списком всех опубликованных предупреждений GLSA, обращайтесь на нашу страницу указателя GLSA (англ.).

Как получать предупреждения GLSA?

Предупреждения GLSA направляются в почтовую рассылку gentoo-announce@gentoo.org (англ.), и на ленту новостей RDF http://www.gentoo.org/rdf/en/glsa-index.rdf (англ.).

3.  Связь с командой безопасности

Gentoo Linux самым серьезным образом относится к сообщениям об уязвимостях в безопасности. Пожалуйста, направляйте отчеты о новых уязвимостях в систему Gentoo Bugzilla (англ.), относя их к продукту Gentoo Security, компонент Vulnerabilities. Перейдите по этой ссылке, чтобы сразу попасть в форму составления отчета об уязвимости. Команда безопасности Gentoo Linux обеспечивает своевременное реагирование на все сообщения об ошибках, связанных с безопасностью.

Если вы нашли ошибки или упущения в опубликованных предупреждениях GLSA, желательно также сообщить об этом в Gentoo Bugzilla (англ.), продукт Gentoo Security, но компонент GLSA Errors. Чтобы сразу приступить к направлению нового запроса об ошибке в GLSA, перейдите по этой ссылке.

Конфиденциальные обращения

Существуют два варианта сообщения об уязвимостях команде безопасности Gentoo Linux без их разглашения. Можно составить запрос в Gentoo Bugzilla (англ.), пользуясь ссылкой New-Expert, и отметить пункт Gentoo Security в разделе Only users in all of the selected groups can view this bug (только пользователям указанных групп разрешен просмотр этого запроса). Также можно связаться напрямую, пользуясь зашифрованной почтой, по одному из следующих контактных адресов по вопросам безопасности (по-английски):

Имя Должность Адрес Идентификатор ключа шифрования GPG (нажмите для получения открытого ключа)
Sune Kloppenborg Jeppesen Operational co-manager jaervosz@gentoo.org 0xC1CEEAB9
Stefan Cornelius Operational co-manager dercorny@gentoo.org 0x05726DC4

Примечание: С полным списком разработчиком Gentoo, включая их идентификаторы ключей GPG, можно в нашем перечне действующих разработчиков (англ.)

4.  Источники

Страницы о безопасности

Ссылки



Для печати

Обновлено 18 мая 2006

Аннотация: Эта страница — исходная точка по всем вопросам безопасности Gentoo Linux.

Ned Ludd
автор

Kurt Lieber
автор

Thierry Carrez
автор

Алексей Чумаков
ответственный переводчик

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.