В системах VMware Workstation и VMware Player, развёрнутых под управлением Debian GNU/Linux, найдена (http://www.vmware.com/security/advisories/VMSA-2013-0010.html) опасная уязвимость (CVE-2013-1662), позволяющая непривилегированному пользователю хост-системы получить root-доступ через манипуляции с утилитой vmware-mount (проблема не даёт возможность выйти за пределы гостевого окружения, только повышение привилегий). Уязвимость уже устранена в свежих обновлениях (https://www.vmware.com/go/downloadworkstation) VMware Workstation 9.x/8.x и VMware Player 5.x/4.x. В качестве обходного пути решения предлагается убрать suid-бит с исполняемого файла vmware-mount.URL: http://www.vmware.com/security/advisories/VMSA-2013-0010.html
Новость: http://www.opennet.me/opennews/art.shtml?num=37734
все пользуются VB
не все, ибо DX7
Не все. Многие используют kvm
поверьте, таких гиков, как вы - не очень много, я вот не буду пользоваться kvm на своем домашнем пк, да и вы бы не стали - выбор вызван лишь тем, чтобы разобраться в работе, конфигурировании и управлении.
>не очень многоНеправда. Нас хватает.
>>не очень много
> Неправда. Нас хватает.Ты и твой сосед Вася? Толпень, ничего не скажешь. Беру назад свои слова.
Меня еще запишите, хоть я и не его сосед. Зато KVM сразу есть в системе, не требует левых модулей, отпадающих на каждый пук, и проброс usb там не зажлобили, как некоторые.
>проброс usb там не зажлобилиразжопили уже
там гуй не хуже чем у коробки. Если бы делал для дома "безэкранные" виртуалки для запуска в фоне, то выбрал бы квм. (хотя, коробка тоже умеет)
>>suid-битfacepalm
> там гуй не хуже чем у коробки. Если бы делал для дома
> "безэкранные" виртуалки для запуска в фоне, то выбрал бы квм. (хотя,
> коробка тоже умеет)Вящик - ушлёпская поделка и для автоматизации полное говно. KVM рулит! Кто-то на Xen дрочит.
Домой можно Вящик, игрухи старые пускать. Для корпоратива только VMware/vSphere.
(если откаты выпросишь - Parallels).
Что мешает использовать в корпоративе KVM/Xen (например, через libvirt)?
> Что мешает использовать в корпоративе KVM/Xen (например, через libvirt)?А ничего не мешает, кроме собственной репоголовости. К тому же qemu умеет и через KVM акселерироваться и через xen.
libvirt - опенсоурсная поделка.VMware работает в огромных комплексах, облаках, прозрачное хранение,
зеркалирование облаков, взаимодействие с продуктами EMC Symmetrix/Clariion,
и их ПО ...К примеру, вызов и восстановление работы SAAS в виртуалке, которое валялось в бэкапе
из-за того что не использовалась пару недель, занимает около 5 сек.В общем это другой мир!
Согласен. Вся эта функциональность есть в других системах, но нормального гуя чтоб секретарша могла в один клик восстановить работу SAAS нету =(. Нужно искать рукастого админа, коих немного.
> Согласен. Вся эта функциональность есть в других системах, но нормального гуя чтоб
> секретарша могла в один клик восстановить работу SAAS нету =(. Нужно
> искать рукастого админа, коих немного.Есть курсы EMC, да дорогие, но стоят того. Более того, закупая железо EMC,
у них много халявы, в том числе на те же курсы.К примеру блондинка легко может собрать массив из 5-10 полок,
инструкции по сборки и быстрому старту реально для IQ в районе 10. :)Про секс с ZFS иль BTRFS, дрочению настроек бэкапа, можно забыть, как страшный сон.
Это всё настраивается, часа за два, вместо 6 месяцев.
> все пользуются VBНикто не гарантирует отсутствия аналогичной "уязвимости" в утилитах VB, или любых других suid-программах. Потому что корень проблемы - в дырявом дебиановском bash.
Супер-мега-патч! :)# chmod u-s `which vmware-mount`;
---
Кстати, почему в Debian, в других дистрах такая же хрень?!
> Кстати, почему в Debian, в других дистрах такая же хрень?!В дебиане на bash наложен специальный патч (http://patch-tracker.debian.org/patch/series/view/bash/4.2+d...), отключающий сброс привилегий в режиме эмуляции sh.
То есть, повторяется история с OpenSSL. Всем горячий привет от профессиональных "разработчиков" Debian.
С OpenSSL была другая ситуация, тот патч одобрили авторы OpenSSL. Одобрили ли этот патч авторы bash пока неизвестно :)
>> Кстати, почему в Debian, в других дистрах такая же хрень?!
> В дебиане на bash наложен специальный патч (http://patch-tracker.debian.org/patch/series/view/bash/4.2+d...),
> отключающий сброс привилегий в режиме эмуляции sh.
> То есть, повторяется история с OpenSSL. Всем горячий привет от профессиональных "разработчиков"
> Debian.В Debian есть
Securing Debian Manual http://www.debian.org/doc/manuals/securing-debian-howto/
CIS Security Benchmark https://benchmarks.cisecurity.org/downloads/multiform/index.cfm
Guide to the Secure Configuration of RHEL (те же яйца, только RedHat) http://www.nsa.gov/ia/mitigation_guidance/security_configura...По этим мануалам нужно пройтись, проверить и настроить сразу после установки системы!
Дальше отслеживать все критические узлы, после каждого апдейта.
ВСЕ suid/sgid программы в системе админ должен знать наизусть!!!---
ЕСЛИ ВЫ ЭТОГО НЕ ДЕЛАЕТЕ - ТО ВАМ ПЛЕВАТЬ НА БЕЗОПАСНОСТЬ.За Вас никто думать не будет, тут вам не windows!
---
[сообщение отредактировано модератором]
>Каждое сообщение о дыре нужно воспринимать ...Если так будут делать то рынок сисадминов наводнится профессионалами. Но пока что это не наблюдается...
и это радует
Сами качайте бесплатно/покупайте этот тормозной, гнилой и проприетарный крэп. У нас-же, на работе, на серваках - квм, у разрабов - вбокс, у меня дома - квм и очень редко вбокс
> Сами качайте бесплатно/покупайте этот тормозной, гнилой и проприетарный крэп.
> У нас-же, на работе, на серваках - квм, у разрабов - вбокс, у меня дома - квм
> и очень редко вбоксОпа, говорящее говно!