[room] безопасности
Michael Shigorin
=?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Сб Сен 9 00:56:11 MSD 2006
On Thu, Sep 07, 2006 at 08:35:18AM +0500, Aleksey Korotkov wrote:
> > Когда я первый разэто увидел, у меня шок был. Тяжелый. Потом
> > рекомендую посмотреть на предмет chroot. Большинство сервисов
> > в ALTзапускается в чруте, в отличии от.
> Если я правильно понимаю, чрут от взлома, если что, не поможет.
Поможет. Это как псевдобронедвери -- и медвежатнику хоть пару
минут от силы, да придётся провозиться, и ламера задержат.
Даже если внешняя картонка оказалась картонкой.
Иными словами, говоря о безопасности, следует сразу думать
о её рубежах. Не одной "границе".
> > Потом рекомендую посмотреть на большинство пакетов собираемых
> > ldv. Потомпойти на openwall.org, почитать и подумать (Hint --
> > сборкисинхронизируются с openwall).
> Это что -- намёк на то, что Дебиан несовместим с openwall?
Это намёк на то, что ALT -- дистрибутив, базовая система которого
в существенной мере сфокусирована на безопасности, в отличие от
того же Debian.
> По-моему, сравнивать можно только так: ставим рядом два сервера
> -- один с Альтом, другой с Дебианом, накатываем все имеющиеся
> для данного дистрибутива секурные патчи (если таковые есть),
> настраиваем и нанимаем команду взломщиков. После чего
> анализируем: что взломано, за какое время, насколько хреновые
> последствия и т.д. и т.п. А так всё абстракции.
Специально выставляли альт (на выставках в инет).
Правда, готовил его Дима, но давали сразу шелл.
На фоне недавних имений машин debian.org может показаться более
интересным то, что мне неизвестен факт имения машин altlinux.org,
и известен один скорее достоверный факт взлома ALT Master вообще.
Тогда это был remote root в openssh, btw. Кривые веб-поделки
тоже тут пробивали, вот только дело на этом быстро заканчивалось.
(да, один ALT-specific пакет тут тоже при чём, и я рассказывал ;)
Анализируя проблемы apache.org и *.debian.org по тому, что люд
написал, мне показалось, что в немаленьком количестве мест
атакующие бы на альте как минимум получили дополнительные
трудности, если не облом цепочки.
> > >> С какой стати Ubuntu безопаснееAK> Debian'а?
> > Не безопаснее. Но хоть развивается динамичнее.
> Вот-вот. Если динамичнее -- с чего безопаснее?
С того, что Питти и компании денег платят, да и Циммермана
вроде перетащили. Насколько помню, после этого Debian вообще
некоторое время апдейты по факту не выпускал. Что напрягло.
> > А если меня замучает параноя, я начну грязно матерится и
> > делать поддержкуSELinux в ALT.
> Хе. А её там нет? Вот вам ваша хвалёная безопасность :) В
> Федоре есть.
Не знаю как в 5, а так её по жизни рекомендовали отрывать.
Сразу же.
--
---- WBR, Michael Shigorin <mike на altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
Подробная информация о списке рассылки smoke-room