Openwall GNU/*/Linux (Owl)

"Owl" (или "Openwall GNU/*/Linux"; обратите внимание, что в каждом случае прописной является только буква "O") представляет собой усовершенствованную в плане безопасности операционную систему, использующую Linux и GNU software в качестве основы и совместимую с другими основными дистрибутивами GNU/*/Linux. Owl ориентирована на использование в качестве серверной платформы и, разумеется, распространяется свободно.

Функциональность.

Хотя мы и ценим качество выше набора функций, Owl действительно предоставляет ряд возможностей помимо попыток быть более безопасной системой.

Прежде всего, Owl можно использовать в качестве основы для установки любого программного обеспечения, существующего для GNU/*/Linux систем. Она предоставляет совместимость (см. далее) с программными пакетами, созданными для других дистрибутивов Linux - например, Red Hat Linux.

Дополнительно, как серверная платформа, Owl включает в себя постоянно расширяющийся набор Internet-сервисов.

Owl использует интегрированную систему сборки, позволяющую собрать всю систему целиком из исходных текстов посредством одной простой команды ("make buildworld"), которая более подробно описывается далее.

Owl поддерживает различные процессорные архитектуры (в данный момент это x86, x86-64, SPARC и Alpha), что позволяет вам использовать ее в различных ситуациях и помогает нам более оперативно обнаруживать и исправлять различные программные ошибки, тем самым повышая надежность программных пакетов Owl.

Безопасность.

Owl сочетает в себе ряд возможностей для снижения количества и последствий ошибок в программных компонентах, а также уменьшения возможного вреда от ошибок в стороннем программном обеспечении, которое пользователь может установить на свой компьютер.

Основной используемый метод - активная проверка исходных текстов на предмет наличия программных ошибок. Тем не менее, ввиду их большого объема, проверке подвергаются только "важные" фрагменты - в настоящий момент это код, выполняемый с привилегиями выше, чем у обычного пользователя, или используемый для обработки получаемых из сети данных. Только после соответствующей проверки в Owl включаются многие системные библиотеки, все SUID/SGID программы, все демоны и сетевые сервисы. Остальные программы могут проверяться будучи уже частью Owl. Потенциальные проблемы, обнаруженные в процессе проверки, решаются, или, в клинических случаях, могут быть причиной того, что данный компонент не включается в Owl. В общем случае, качество кода и подход к использованию им привилегий всегда учитываются, когда есть выбор между двумя и более реализациями какой-то определенной возможности. По мере развития проекта многие компоненты будут заменены на наши собственные реализации.

При добавлении пакетов в Owl программные компоненты настраиваются или, если необходимо, модифицируются с целью обеспечения безопасных настроек по умолчанию, применения принципа минимальных привилегий, и реализации разделения доступа. Использование безопасных настроек по умолчанию, когда дополнительные (потенциально опасные!) функции при необходимости нужно включать явно, позволяет нам более тщательно исследовать фрагменты кода, используемые с настройками по умолчанию. Дополнительные утилиты для администрирования системы (owl-control) позволяют управлять различными системными функциями - например, такими, как необязательные SUID/SGID программы - независимо от установки соответствующих пакетов. Для каждого пакета, входящего в Owl, будет документирован статус для оценки риска.

Увы, анализ исходных текстов, будучи предпочтительным методом проверки программного обеспечения, не всегда применим. Обычно, если "дырявая" программа от стороннего разработчика устанавливается на безопасную в остальном систему - извечная борьба снаряда и брони завершается, причем не в вашу пользу. Единственное, что система может обеспечить - то, что возможный несанкционированный доступ будет ограничен привилегиями, которые были у данной программы. Тем не менее, в последнее время разработаны различные методы снижения как вероятности подобных случаев, так и последствий совершившейся атаки на "дырявую" программу. Owl использует некоторые из этих методов в различных частях системы.

Owl использует стойкие криптографические методы в своих базовых компонентах и уже сейчас содержит набор средств для поддержания соответствия политике безопасности (проверка устанавливаемых паролей с помощью pam_passwdqc, сроки действия паролей и учетных записей пользователей, возможность ограничения доступа на основе сетевых адресов) и проверки целостности (mtree). Предоставить широкий спектр средств обеспечения безопасности, доступных "из коробки" - одна из наших основных задач.

Система сборки и управление пакетами.

Owl, в отличие от многих других дистрибутивов Linux, содержит полную систему сборки, позволяющую (пере-)собрать всю систему из исходных текстов посредством одной простой команды "make buildworld". Надо заметить, что реализация "make buildworld" в Owl довольно сильно отличается от аналогичной возможности в *BSD - она, скорее, ближе к реализованным там ports, и охватывает окружение (userland) Owl (то есть, всю систему за исключением ядра Linux).

Окружение состоит из двух деревьев каталогов, причем каждый пакет может быть разбитым на части, расположенные в разных деревьях. Одно дерево содержит оригинальные архивы исходных текстов, распространяемые разработчиками соответствующих компонентов. Другое, размещенное в CVS-репозитарии, содержит правила сборки, исправления, а также специфические для Owl дополнения к пакетам. Некоторые пакеты были разработаны как часть Owl и полностью находятся в дереве CVS.

На основе этих двух деревьев исходных текстов собираются бинарные пакеты. Они могут быть установлены (посредством "make installworld") как для обновления системы, так и для создания нового ее экземпляра (параметр ROOT; подробнее см. файл INSTALL). Также они могут быть переданы по сети и установлены на другом компьютере.

Мы используем RPM для работы с готовыми бинарными пакетами, что обеспечивает системе на базе Owl корректную обработку взаимозависимых пакетов от (или рассчитанных на) Red Hat Linux и другие дистрибутивы.

Совместимость.

За исключением отдельных случаев, не соответствующих нашим целям, Owl пытается сохранять максимальную совместимость с другими основными дистрибутивами GNU/*/Linux на уровне пакетов (в том числе бинарных).

В большинстве случаев, возможна установка готовых бинарных пакетов, предназначенных для определенных версий Red Hat Enterprise Linux, CentOS или Fedora, на компьютер, работающий под управлением Owl. Для Owl 2.0 и Owl 3.0, это относится к пакетам, собранным для RHEL4, CentOS 4 и FC3.

$Owl: Owl/doc/ru/CONCEPTS,v 1.12 2010/12/14 16:37:05 solar Exp $