[room] безопасности

Денис Смирнов =?iso-8859-1?q?mithraen_=CE=C1_altlinux=2Eru?=
Вс Сен 10 03:36:12 MSD 2006


On Sun, Sep 10, 2006 at 01:46:59AM +0400, Dmitry Derjavin wrote:

>> И вот с этой точки зрения Debian вообще не пригоден как
>> дистрибутив. Судя по тому что я читал -- Ubuntu по крайней мере
>> начали об этом задумываться.  А в ALT это "just works".
DD> Денис, давайте не бросаться словами. Вам ведь могут и поверить.
DD> Алексей чуть выше по треду предложил хороший эксперимент. Не нравится
DD> такой способ проверки устойчивости дистрибутива к взлому -- предложите
DD> свой. А не проверили, так нечего трепаться.

Для того чтобы сказать "вон в той двери замок, а в той его вообще нет" не
обязательно вызывать медевежатников и просить сломать. Достаточно просто
посмотреть, и увидеть что замка нет.

Так вот, есть целый комплекс средств обеспечения безопасности, которых в
Debian вообще нет. А в ALT есть из коробки.

А способов проверки на устойчивость ко взлому в настоящий момент попросту
нет. Вообще. Вернее есть, но они выявляют только лень сисадмина, который
не обновил софт. Увы, средств автоматического выявления _неизвестных_
уязвимостей нетути. А именно они представляют наибольшую угрозу, и именно
против них создано масса средств противодействия.

>> Потому я с куда более спокойным сердцем буду поднимать сервер на
>> произвольном снапшоте Сизифе, чем на Debian, или (простите за
>> нехорошее слово) Fedora.
DD> Хвастаться тут особо нечем.. У Debian и даже Fedora есть очень мощное,
DD> на мой взгляд, преимущество -- они предсказуемы. На них можно
DD> рассчитывать. Конечно, они не так прозрачны, как Owl или OpenBSD, но
DD> для них можно с достаточной степенью уверенности прогнозировать
DD> дальнейшее развитие событий. С ними можно (хоть) что-то планировать.
DD> Меня, как админа, пугает ситуация, когда неожиданно может выясниться,
DD> что входящий в дистрибутив пакет молча не поддерживается security
DD> team, так как по их мнению он крив и поддержки недостоин. А кто его
DD> включил в дистрибутив, тот пусть сам и поддерживает. И если вас, как
DD> админа, такая ситуация не пугает, то вы, извините, пугаете меня, как
DD> админ.

Все проще. Я четко знаю, что если в поле packager у пакета стоит ldv@, то
он поддерживается security team. Я также знаю, что если пакет серверный, и
packager у него mike@ -- этого также достаточно для уверенности в
поддержки. Собственно на моих серверах почему-то оказывается что ключевые
пакеты поддерживаются ldv@, mike@, lakostis@ и mithraen@ (я про Asterisk).

Я также знаю единственный критичный для многих пакет, который заведомо
_не_ поддерживается полноценно -- php.

Особенно с учетом того что я знаю что basesystem у нас практически
идентична с Owl, о чем можно дальше говорить?

А федора -- да, предсказуемо глючная. Потому как существует с одной
единственной целью -- бетатестирование дистрибутив на кошках, дабы
выпускать RHEL.

А Debian не устраивает ещё и чрезмерно большим циклом разработки, делающим
использование stable нереальным на десктопах. А как серверный непригоден я
уже объяснял почему.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
<drF_ckoff> The official Gentoo motto is, "If it moves, compile it."
<raorn> drF_ckoff: а если не moves, растолкай и compile




Подробная информация о списке рассылки smoke-room