Продолжу рассказ про перспективные разработки в области виртуализации. Давайте рассмотрим отдельно стоящий сервер, к которому в силу тех или иных причин злоумышленник получил доступ с привилегиями администратора. Плохо? Безусловно. Теперь у злоумышленника “ключи” от всех выполняющихся на сервере служб. А теперь представьте, что в роли сервера у нас машина с гипервизором, в котором работает какое-то количество виртуальных машин. Ситуация хуже во много раз: “плохие парни” получают доступ сразу ко всем виртуальным машинам. Тем более, что опасность увеличивается, благодаря использованию в случае гостевых операционных систем локальных механизмов атаки. Оставим в стороне конкретные технологии и конкретных вендоров. Не важно, чья модель безопаснее - Microsoft, VMWare, Citrix, Sun, etc. Никто не будет спорить, что от потенциальных уязвимостей не застрахован никто, вне зависимости от размеров возможной площади атаки.
Posts for: #Fedora
Впечатления от oVirt
На пару дней взял в лабе четыре сервера, на которых развернул oVirt - Open Source-реализацию системы виртуализации, находящуюся в стадии разработки, но имеющую весьма высокий потенциал. Объясню почему. Когда говорят о бесплатных продуктах, подобных ESXi и Hyper-V, нужно понимать, что, хотя они и бесплатны, но масштабируемое решение на них никоим образом не построить. Если вы возьмете десять физических серверов и установите на них гипервизор, то у вас и будет десять отдельно стоящих серверов без функций централизованного управления, горячей миграции, отказоустойчивости и т.д. За все, без чего виртуализация превращается в “красивую игрушку”, нужно платить.
Новая версия Spacewalk 0.4

На днях вышла новая версия open source решения для обслуживания всего жизненного цикла Linux-инфраструктуры - Spacewalk 0.4. Spacewalk представляет собой открытый по лицензии GPL2 продукт Red Hat Network Satellite Server, имеющий давнюю, с 2001 года, историю разработки.
Основные усовершенствования:
- интеграция с Cobbler/Koan (о Cobbler я писал в блоге пару недель назад). Требуется версия cobbler >=1.4, которая пока что присутствует в репозитории epel-testing. Предполагается, что Cobbler заменит соответствующую подсистему в Spacewalk, а в дальнейшем, видимо, и в Red Hat Network Satellite Server;
- начата работа над реализацией доверительных отношений между Организациями и реализацией “общих каналов” программного обеспечения (Multi-Org II);
- улучшения в поддержке разных архитектур в пределах одного сервера для 64-разрядных систем;
- Набор новых API (channel.access.*, channel.org.*, package.*);
- Модули SELinux для компонентов Spacewalk (Ура! Раньше первый пункт при установке звучал как “выключите SELinux” :) ;
- Поиск по online-документации в Spacewalk. (Мелочь, а приятно);
- Справочная документация обновлена с учетом последних изменений;
- Продолжается миграция частей кода с perl на java;
- Улучшенна интеграция с базовой системой. satellite-httpd удален, поскольку теперь используется стандартный httpd;
- С момента выхода версии 0.3 исправлено более сотни различных ошибок.
В качестве платформы все еще необходимо использовать RHEL/CentOS/etc, но уже начата работа по созданию репозитория для Fedora 10.
Fedora Linux Security Guide

Руководство Security-Enhanced Linux User Guide, про которое я писал ранее, уже сменило статус с черновика на готовый документ, а вчера Eric Christensen опубликовал черновой вариант Fedora Linux Security Guide (Bugzilla Bug). В целом завершить работу планируется к выходу Fedora 11, а сейчас создатели документа с удовольствием выслушают отклики/исправления/замечания от сообщества пользователей и разработчиков Fedora. HTML-версия документа тут.
Ресурсы Russian Fedora
Заработали Bugzilla и форум. Страница “Как присоединиться” с которой можно подписаться на списки рассылки. К следующему четвергу в wiki должны быть списки To Do по основным направлениям, и можно будет брать и раздавать задачи :)