[room] безопасности

[Michael Shigorin]

On Thu, Sep 07, 2006 at 08:35:18AM +0500, Aleksey Korotkov wrote:
> > Когда я первый разэто увидел, у меня шок был. Тяжелый. Потом
> > рекомендую посмотреть на предмет chroot. Большинство сервисов
> > в ALTзапускается в чруте, в отличии от. 
> Если я правильно понимаю, чрут от взлома, если что, не поможет. 

Поможет.  Это как псевдобронедвери -- и медвежатнику хоть пару
минут от силы, да придётся провозиться, и ламера задержат.
Даже если внешняя картонка оказалась картонкой.

Иными словами, говоря о безопасности, следует сразу думать
о её рубежах.  Не одной "границе".

> > Потом рекомендую посмотреть на большинство пакетов собираемых
> > ldv. Потомпойти на openwall.org, почитать и подумать (Hint --
> > сборкисинхронизируются с openwall). 
> Это что -- намёк на то, что Дебиан несовместим с openwall?

Это намёк на то, что ALT -- дистрибутив, базовая система которого 
в существенной мере сфокусирована на безопасности, в отличие от 
того же Debian.

> По-моему, сравнивать можно только так: ставим рядом два сервера
> -- один с Альтом, другой с Дебианом, накатываем все имеющиеся
> для данного дистрибутива секурные патчи (если таковые есть),
> настраиваем и нанимаем команду взломщиков. После чего
> анализируем: что взломано, за какое время, насколько хреновые
> последствия и т.д. и т.п. А так всё абстракции.

Специально выставляли альт (на выставках в инет).
Правда, готовил его Дима, но давали сразу шелл.

На фоне недавних имений машин debian.org может показаться более
интересным то, что мне неизвестен факт имения машин altlinux.org,
и известен один скорее достоверный факт взлома ALT Master вообще.
Тогда это был remote root в openssh, btw.  Кривые веб-поделки
тоже тут пробивали, вот только дело на этом быстро заканчивалось.
(да, один ALT-specific пакет тут тоже при чём, и я рассказывал ;)

Анализируя проблемы apache.org и *.debian.org по тому, что люд 
написал, мне показалось, что в немаленьком количестве мест
атакующие бы на альте как минимум получили дополнительные
трудности, если не облом цепочки.

> > >> С какой стати Ubuntu безопаснееAK> Debian'а?
> > Не безопаснее. Но хоть развивается динамичнее. 
> Вот-вот. Если динамичнее -- с чего безопаснее?

С того, что Питти и компании денег платят, да и Циммермана
вроде перетащили.  Насколько помню, после этого Debian вообще
некоторое время апдейты по факту не выпускал.  Что напрягло.

> > А если меня замучает параноя, я начну грязно матерится и
> > делать поддержкуSELinux в ALT. 
> Хе. А её там нет? Вот вам ваша хвалёная безопасность :) В
> Федоре есть.

Не знаю как в 5, а так её по жизни рекомендовали отрывать.
Сразу же.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/