synentey3h Theo de Raadt

Mario Saturno m.saturno at nectarine.it
Wed Jun 22 19:02:05 EEST 2005


On Jun 22, 2005, at 10:43 AM, Antonios Anastasiadis wrote:

>>
>
> Εδώ? άσε καλύτερα,γιατί θα πέσει να  
> με φάει η μισή λίστα και θα
> αναλωθούμε σε ανούσιο flamewar πάλι.Δέν  
> χρειάζεται ειδικές ικανότητες
> να προβλευτεί αυτό.

Ίσα ίσα, σε πληροφορό ότι η λίστα  
είναι το καλύτερο μέρος για να  
εκθέσεις τις απόψεις σου.

> Να έχεις υπ'όψιν σου οτι τα security patches  
> φτιάχνουν τα
> vulnerabilities που έχουν ήδη βρεθεί,και σε  
> καμία περίπτωση δέν
> μπορείς να θεωρείσαι καλυμένος με  
> αυτά και μόνο. Απλά ξέρεις οτι δέν
> έχεις τίποτα καλύτερο να κάνεις από  
> το να τα βάλεις και να ελπίζεις
> οτι ο υπόλοιπος κώδικας είναι  
> ασφαλής. Εκτός αν έχεις εμπεδώσει το
> μοντέλο του "proactive" (βρείτε μου την  
> ελληνική λέξη γιατί δέ
> μού'ρχεται) security και η ασφάλεια έχει  
> γίνει αυτοσκοπός, όπως στο
> openbsd :
> http://www.openbsd.org/security.html
> Και παρ'ολ'αυτά πάλι ποτέ δέν θα  
> μπορείς να είσαι σίγουρος...

Για security patch ενοούσα κάτι σαν αυτό για  
παράδειγμα: http://www.grsecurity.net/features.php  ή  
αυτό http://www.openwall.com/linux/README.shtml .  
Υπάρχουνε είδη μέσα στον πυρήνα του  
Linux κάποια από αυτά.


>
> Επίσης, ξέρεις οτι πάρα πολλοί admins  
> την πατάνε επειδή το default
> installation κάποιας διανομής πχ αρχίζει  
> τα κερατά της, αφήνοντας ένα
> κάρο processes να ακούνε σε ένα κάρο ports?  
> Άλλο να βάλεις ένα τέτοιο
> σύστημα και να αρχίζεις να κόβεις,να  
> ράβεις κλπ για να το κάνεις πιο
> ασφαλές και άλλο να ξεκινήσεις από  
> ένα *εντελώς* bare-bones σύστημα
> και να βάλεις πραγματικά ότι θές εσύ.  
> Και με αυτήν την έννοια όλα τα
> bsd's σε βοηθάνε εξαρχής.

Μπράβο.. τώρα να σου πω κι εγώ.. βάλε το  
Gentoo Live CD σε ένα μηχάνημα.. άστο να  
τελειώσει το compile κι όταν καταλάβεις  
ότι έχεις μόνο ένα ftp client install μπορείς  
να χαρακτηρήσεις το Gentoo το πιο  
ασφαλές σύστημα!! Έχει λογική αυτό?  
Ενοείτε ότι κάπιος που θέλει ασφάλεια  
σε ένα σύστημα ( οκ, δεν αναφέρομαι στα  
Windows :P ) ΔΕΝ θα το κάνει ούτε άμα βάλει  
Mandriva Linux αυτό!!

> Να η σημασία του default install, οτι δέν  
> φτύνεις αίμα για να αρχίσεις
> να χτίζεις πάνω σε ένα ασφαλές  
> σύστημα και στο προσφέρουν οι ίδιοι.
> Φτύνεις αίμα για να το χτίσεις  
> βέβαια :)
>

Πέρα από αυτό.. ProPolice για να αποφύγουν  
τα buffer overflows κ άλλα παρόμοια  
περιστατικά έχει και το Gentoo στον default  
gcc όπως και το OpenBSD και μπορεί να βάλει  
οπιοσδήποτε άλλος. Επίσεις όπου W^X για  
OpenBSD έχεις PAX και EXEC-SHIELD σε Linux for non exec  
stack. Το αν είναι από default ή λίγη σημασία  
έχει.


Στο website που έδωσες πιο πάνω αναφέρει  
τα εξής ως features του OpenBSD:

Randomized malloc()*
Randomized mmap()*

Το randomization αυτό κατεβάζει σημαντικά  
την απόδοση του OpenBSD σε όλα τα Online  
Benchmarks όχι μόνο σε σχέσει με Linux 2.6 αλλά  
και με
τα ξαδέρφια του.. NetBSD, FreeBSD. Η "παραπάνω"  
ασφάλεια που προσφέρει είναι σχετική,  
αφού είναι αμφίβολο αν θα αντέξει σε  
ένα brute-force attack, ενώ αυτό το feature  
υπάρχει και για Linux.. Για τα υπόλοιπα  
όπως η κρυπτογραφία ή.. δεν θυμάμε  
τίποτε άλλο αξιοσημείοτο .. δεν έχω να  
πω και πολλά, κάνω εκτενή χρήση της  
κρυπτογραφίας στο Linux-άκη μου..

ps. Όλα τα παραπάνω εκθέτονται με  
σεβασμό στον Έλληνα καναλωτή! ehm.. στον  
καθένα που γουστάρει το OpenBSD.. I believe that  
having a choice is a good thing - this statement doesn't apply on  
Linux distributions, enough is enough - .

:PPPPP
bye

------------------------------
Mario Saturno
m.saturno at nectarine.it




More information about the Linux-greek-users mailing list