当前位置:首页 > 开发 > 操作系统 > 正文

kernel.org is back

发表于: 2011-10-05   作者:bookjovi   来源:转载   浏览次数:
摘要:       kernel.org终于回来了, 已经可以正常登陆了,同时也可以git pull kernel最新代码了。       众所周知 kernel.org 挂掉已有很长一段时间了,kernel developer则习惯称之为“compromise”, 原因是ssh credentials泄露导致ro

 

    kernel.org终于回来了, 已经可以正常登陆了,同时也可以git pull kernel最新代码了。

 

    众所周知 kernel.org 挂掉已有很长一段时间了,kernel developer则习惯称之为“compromise”, 原因是ssh credentials泄露导致root权限被获得. 几乎是相同的原因几天后linux-foundation.org同样被黑。至今黑客是如何窃取到ssh credentials仍不为人知,不久将会有一份正式的报告出来。

 

    kernel.org是Linux kernel开发的基础设施,kernel官方代码的存放点,相信下载过kernel代码的人都知道这个网站,其实kernel.org的作用远远不止存放代码这么简单,它是kennel developer 的日常开发机器,这些人每天都在上面编译及调试。现在kernel.org的ssh账户约有490个,全是SSH 连接, 通常情况下在公网上开SSH 端口的站点不是很多,往往都是供开发使用,这样站点的安全性要求是相当高的,同时拥有ssh连接的所有人也须有非常高的可信度。问题就出在这里,难免有个高手能窃取到ssh credentials,以前就出现过HPA(kernel.org管理员之一)的机器发现被放置的木马。kernel.org没了,kernel开发不能中断,所以大约90个subsystem的git tree都迁移到github上,以保证开发的平稳过渡。顺便说一下kernel.org还是很多其他开源项目的host点,如Android。这也就是这段时间Android开发人员无法下载代码的原因。

 

    kernel.org被黑后,kernel.org几个机器全部重装(因为无法确定还有什么被偷偷修改掉),然后人们一直在讨论黑客的目的到底是什么? 很多人担心黑客会在Linux git tree中放置木马,这样kernel代码会被下载到全世界很多机器上,在不知不觉中执行木马程序。此担心不无道理,毕竟kernel.org上除了存放代码也没其他什么秘密可言,莫非想登到上面玩玩?一个Fedord的Linux真没什么太大吸引力,就是内存硬盘大了一点而已。 如果黑客要想在git中偷偷修改代码而不被人知道,那么这个黑客绝对是世界上最顶尖的数学家和安全专家。git使用sha1加密算法,每一次向kernel commit代码后sha1哈希值都会更新,当你git pull时git程序会自动比较当前tree中的head与pull tree head的sha1哈希,如果不匹配则pull失败,除非黑客能修改代码的同时又能保证sha1哈希不变,那这个黑客未免也太牛了。当然kernel developer还担心一个问题,就是firmware,firmware在kernel中是以二进制的形式存在的,所以firmware的排查则较为相当困难,不过我们还是认为改变数值却不改变sha1哈希几乎是不可能的事情。

 

    下面介绍kernel.org被黑后管理员决定采取的一些措施,以加强kernel.org的安全设施

    以后再无ssh shell直接登录了,要用git push得使用gitolite, gitolite仍使用ssh key;

    Grey发出一份email,里面详细描述了检查机器是否被黑的一些措施,比如检查有无可执行文件别修改。详细请看:http://lwn.net/Articles/461237/

    HPA发出一份email,里面详细描述如何生成一个新的GPG key(gpg是gnu的开源程序,一般Linux发行版都包含此程序,GPG key是需要发给kernel.org的维护者的),请看:http://lwn.net/Articles/461236/

 

    Ok, 就写这么多了, Have fun!

 

.jovi

 

 

kernel.org is back

  • 0

    开心

    开心

  • 0

    板砖

    板砖

  • 0

    感动

    感动

  • 0

    有用

    有用

  • 0

    疑问

    疑问

  • 0

    难过

    难过

  • 0

    无聊

    无聊

  • 0

    震惊

    震惊

编辑推荐
什么是Back to Back Order? 简单的说,B2B是我们从供应商那拿货,然后收到货后,再发运给客户。 . B
两个流程很类似,都要创建PR和PO给供应商,主要区别在于谁来发货。 B2B是我们从供应商那拿货,然后
什么是Back to Back Order? 简单的说,B2B是我们从供应商那拿货,然后收到货后,再发运给客户。 . B
两个流程很类似,都要创建PR和PO给供应商,主要区别在于谁来发货。 B2B是我们从供应商那拿货,然后
两个流程很类似,都要创建PR和PO给供应商,主要区别在于谁来发货。 B2B是我们从供应商那拿货,然后
什么是Back to Back Order? 简单的说,B2B是我们从供应商那拿货,然后收到货后,再发运给客户。 . B
万维网机器人(也称作 wanderer 或 spider)是漫游于网络页面间的一种程序,会递归地检索相互链接的网
万维网机器人(也称作 wanderer 或 spider)是漫游于网络页面间的一种程序,会递归地检索相互链接的网
还记得上大学的时候开始接触linux的,当时导师有一门linux的选修课,由于计算机专业的不能够选择计
首先什么是Back track(简称bt)呢?引用一篇博客中的简介,让大家了解一下bt吧 http://www.pczpg.c
版权所有 IT知识库 CopyRight © 2009-2015 IT知识库 IT610.com , All Rights Reserved. 京ICP备09083238号