Gentoo Logo

Безопасность Gentoo Linux

Содержание:

1.  Безопасность Gentoo Linux

Безопасность — первоочередной вопрос в Gentoo Linux. Обеспечение конфиденциальности и защищенности машин наших пользователей для нас крайне важно. Задача своевременного обеспечения информацией об уязвимостях системы безопасности в Gentoo Linux, а также исправлений, исключающих такие уязвимости, поставлена перед проектом безопасности Gentoo Linux — Gentoo Linux Security Project (англ.) Чтобы обеспечить быстрое профессиональное реагирование на все происшествия, связанные с безопасностью, мы напрямую работаем с поставщиками, конечными пользователями и другими проектами открытого программного обеспечения.

Документ, описывающий порядок, которому следует команда безопасности, имея дело с уязвимостями, найденными в дистрибутиве Gentoo Linux, находится на странице порядок обращения с уязвимостями (англ.).

Установка безопасной системы Gentoo

Сведения и советы по устройству безопасной системы и защите существующих систем даются в настольной книге по безопасности Gentoo.

Поддержание безопасности вашей системы Gentoo

Для поддержания актуальности исправлений системы безопасности желательно оформить подписку на получение GLSA (предупреждений по безопасности Gentoo Linux) и следовать указаниям в GLSA в каждом случае, когда у вас установлен уязвимый пакет. В качестве альтернативы, безопасность системы также можно поддерживать в актуальном состоянии, синхронизируя свое дерево портежей и обновляя каждый пакет.

Уже ведется разработка механизма обновлений только системы безопасности для включения в средства Portage. В настоящее время с помощью экспериментальной утилиты glsa-check (входит в пакет gentoolkit) можно проверить, относится ли конкретное GLSA к вашей системе (параметр -p), вывести список всех GLSA с указанием состояния исправлено/уязвимо/не подвержено (параметр -l), или наложить заданное исправление GLSA на свою систему (параметр -f).

2.  Предупреждения по безопасности Gentoo Linux (GLSA)

Предупреждения по безопасности Gentoo Linux — уведомления, которые мы рассылаем сообществу, чтобы проинформировать об уязвимостях в безопасности системы, связанных с Gentoo Linux или пакетами, находящимися в нашем хранилище портежей.

Свежие предупреждения

GLSA Severity Package Description Bug
201408-07 Normal media-libs/libmodplug ModPlug XMMS Plugin: Multiple vulnerabilities 480388
201408-06 Normal media-libs/libpng libpng: Multiple vulnerabilities 503014
201408-05 Normal www-plugins/adobe-flash Adobe Flash Player: Multiple vulnerabilities 519790
201408-04 Normal dev-util/catfish Catfish: Multiple Vulnerabilities 502536
201408-03 Low net-libs/libssh LibSSH: Information disclosure 503504
201408-02 Normal media-libs/freetype FreeType: Arbitrary code execution 504088
201408-01 Normal dev-php/ZendFramework Zend Framework: SQL injection 369139
201407-05 High dev-libs/openssl OpenSSL: Multiple vulnerabilities 512506
201407-04 Normal app-crypt/gnupg GnuPG: Denial of Service 514718

За полным списком всех опубликованных предупреждений GLSA, обращайтесь на нашу страницу указателя GLSA (англ.).

Как получать предупреждения GLSA?

Предупреждения GLSA направляются в почтовую рассылку gentoo-announce@gentoo.org (англ.), и на ленту новостей RDF http://www.gentoo.org/rdf/en/glsa-index.rdf (англ.).

3.  Связь с командой безопасности

Gentoo Linux самым серьезным образом относится к сообщениям об уязвимостях в безопасности. Пожалуйста, направляйте отчеты о новых уязвимостях в систему Gentoo Bugzilla (англ.), относя их к продукту Gentoo Security, компонент Vulnerabilities. Перейдите по этой ссылке, чтобы сразу попасть в форму составления отчета об уязвимости. Команда безопасности Gentoo Linux обеспечивает своевременное реагирование на все сообщения об ошибках, связанных с безопасностью.

Если вы нашли ошибки или упущения в опубликованных предупреждениях GLSA, желательно также сообщить об этом в Gentoo Bugzilla (англ.), продукт Gentoo Security, но компонент GLSA Errors. Чтобы сразу приступить к направлению нового запроса об ошибке в GLSA, перейдите по этой ссылке.

Конфиденциальные обращения

Существуют два варианта сообщения об уязвимостях команде безопасности Gentoo Linux без их разглашения. Можно составить запрос в Gentoo Bugzilla (англ.), пользуясь ссылкой New-Expert, и отметить пункт Gentoo Security в разделе Only users in all of the selected groups can view this bug (только пользователям указанных групп разрешен просмотр этого запроса). Также можно связаться напрямую, пользуясь зашифрованной почтой, по одному из следующих контактных адресов по вопросам безопасности (по-английски):

Имя Должность Адрес Идентификатор ключа шифрования GPG (нажмите для получения открытого ключа)
Sune Kloppenborg Jeppesen Operational co-manager jaervosz@gentoo.org 0xC1CEEAB9
Stefan Cornelius Operational co-manager dercorny@gentoo.org 0x05726DC4

Примечание: С полным списком разработчиком Gentoo, включая их идентификаторы ключей GPG, можно в нашем перечне действующих разработчиков (англ.)

4.  Источники

Страницы о безопасности

Ссылки



Для печати

Обновлено 18 мая 2006

Аннотация: Эта страница — исходная точка по всем вопросам безопасности Gentoo Linux.

Ned Ludd
автор

Kurt Lieber
автор

Thierry Carrez
автор

Алексей Чумаков
ответственный переводчик

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.