pld sec team (fwd)

Nie, 8 Wrz 2002, 14:53:33 CEST

On Sun, 8 Sep 2002, Krzysiek Taraszka wrote:
> Druga rzecz. Trzeba zrobić listę wszystkich pakietów w pld mających
> bezpośredni wpływ na bezpieczeństwo. Innymi słowy - wszystko co ma
> suidy/sgidy i wszystko co robi za demony.

Co taka lista da?

> Ostatnia rzecz. Metodologia taka, że ewentualne ciekawe posty z
> pld-sec-bulk są forwardowane na pld-security, po czym omawiane. Problem
> tylko w tym, że takie omawianie polegałoby także na dokładnym omówieniu
> zagrożeń dla pld wynikających z danej dziury (czyli np. czy są
> eksploity, czy one dają roota, etc). Innymi słowy specjalna oferta dla
> script-kiddie - heterogeniczne środowisko (pld), oraz informacje o
> wszystkich dziurach w nim zawartych (wraz ze szczegółowym omówieniem co
> i jak) i to wszystko *zanim* światło dzienne ujrzą poprawione paczki!
> Chyba wiesz do czego zmierzam? Taka lista miała by prawo istnieć tylko
> jako wewnętrzna lista zaufanych deweloperów (np. minimum 6 miesięcy
> stażu or sth), a na zewnątrz mogłyby być wypuszczane tylko advisory
> (specjalna lista stworzona w tym celu na którą mógłby się zapisać każdy
> admin).

Taki model powoduje trochę zamknięte działanie. Chodzi o wciąganie nowych 
osób, to nie będzie ładnie sie toczyło...

> Szczegóły są do ustalenia (czyli na przykład, jeśli dana dziura jest
> znana, a jeszcze nie załatana, a jest znany workaround to wypuszczamy
> advisory z owym workaroundem). Oczywiście jeśli to ma być z prawdziwego
> zdarzenia to jeszcze trza by mieć własny katalog na eftepie (dostęp dla
> sec-teamu z pominięciem kloczka), wpis do poldka (tzn żeby poldek -n
> ra-sec upgrade * działało jak trzeba), oraz własny builder/możliwość
> posyłania zleceń na buildery poza kolejką.

Nie w ten sposób. własny builder to będzie baaardzo zły pomysł (buildery 
mogą się między sobą rozjeżdżać.... chociażby).

Tutaj powinien aktualny być zmodyfikowany (kiedyś o tym myślałem), aby 
były 2 kolejki: normal i privileged. Normalnie wszystko do pierwszej 
kolejki idzie. Jeżeli coś będzie podpisane odpowiednim kluczem PGP to 
trafia do kolejki privileged. Budowanie będzie w pierwszej kolejności 
wykonywane z tej właśnie kolejki oraz będą informowane odpowiednie osoby 
mailem, że coś się tam pojawiło. rezultat budowania powinno trafiać do 
innego katalogu niż test, np. privileged-test i _automatycznie_ 
przegenerowywane byłyby tam indeksy poldkowe... To byłyby quick security 
fixes dla niecierpliwych, ale nie przetestowane jeszcze.
Przerzucanie do updates powinno mimo wszystko odbywać się ręcznie.

> Wiem, że to dużo, ale to już byłby sec-team na miarę profesjonalnego. 
> Oczywiście nie trzeba mieć tego wszystkiego na raz, ale przynajmniej ten 
> własny ftp to jest absolutna podstawa (uzależnienie od kloczka, to tak jakby 
> sec-teamu wogóle nie było).

Patrz wyżej...

-- 
---------------------------------
pozdr.  Paweł Gołaszewski        
---------------------------------
CPU not found - software emulation...