> Слишком много если.Ну, количество "если" потребное для успешного взлома линуха через этот баг не мешает некоторым троллить как я смотрю. А тут вдруг вас "если" засмущали. Странно :)
> все сказанное выше отменяет дырень?
Нет, не отменяет. Но ее реальная серьезность - почти на уровне плинтуса. Ну сломает пара десятков гиков свой локалхост. И? А товарисчи типа HBGarry - это наполеоны современные, судя по сочетанию почти нереальных задумок и планов с громкими эпикфейлами, когда "спецы по безопасности" сами сообщают пароль от ссш и открывают фаервол совершенно посторонним анонимусам :).Чисто технически им было бы сложно реализовать даже 1/3 от того что они там задумали, а уж с помощью анонимусов они могут вообще сушить весла, т.к. наполеоновские планы были спалены и видимо успешно провалятся :)
> И таки да, ковырял я юсб девайсины и дрова под них писал, ничего там страшного
> нет, если есть платка на атмеге, то вообще все собирается за пару часов.
Не, ну понятно что было бы желание да скиллы... только пару часов мне кажется излишне оптимистчным вариантом, в любом случае это далеко не стандартная флеха которую пошел да купил, да и врядли дыра долго протянет, особенно после такого пиара :).
> у нас 4-х моторный квадролёт пацаны из китайского танка за выходные собрали,
Сурово, а логику стабилизации по акселерометрам, управление моторами и прочая - сами писали, или просто готовое влили? А то за выходные самим такую логику наваять - больно круто как-то. А влить готовое ума особо не требует. Да и квадролет - забавная конструкция. Как раз тем что никаких особых требований не выдвигает ни к чему. Конструкция механически довольно проста, и в общем то не капризна, а весь гемор по стабилизации аппарата и управлению - вынесен на набортный софт ну и его юзверя :).
> со всеми сборками ядер, прошивками.. ничо там сложного с usb нету.
А они что, на основе линуха его делали? Или что за ядра они там собирали? oO
> в OpenBSD ляпов секурного плана горааааздо меньше,
Ну так и используется она гораздо меньше и может гораздо меньше. А если бы ее юзали как линух - наверное и баги бы находили в приличном количестве. Хотя и в меньшем количестве наверное, т.к. ряд софта у них достаточно минималистичен, что явно на пользу отсутствию багов в нем (например openntpd явно меньше по размеру чем ISCшный, у кого меньше багов - несложно догадаться, да).
> что-то я не припоминаю, чтоб еженедельно проблемы безопасности находили в опёнке.
Ага, зато я припоминаю что там плохо с многопроцессорностью и вообще развитием в последнее время. Понятное дело что укрепленный бункер на глубине несколько сотен метров - защищает даже от ядерного взрыва или падения метеорита, только постоянно в нем отсиживаться - на любителя.
>> вообще нифига не умеет? Или чего? Из реалистичных вариантов?
> ну та поддержка которая есть в openbsd меня устраивает, железо работает, рэйды
> поддерживаются,
Угу, только насколько я помню, там многие подсистемы не ахтецки работают на многопроцессорном железе. Это когда многоядерные процы пхают чуть ли не в телефоны, не говоря уж о серверах.
> извините юсб-саундкарты я в сервера не втыкаю, ибо на хэ не надо.
В моем понимании - если уж волнует секурити, то позапрещать лишние модули/протоколы/юзать минимум программ и прочая - is a must :). Юсб вообще слишком дофига всего может, поэтому по хорошему в биосе порубать нафиг и пароль на вход в биос воткнуть, если не планируется юзать юсб-девайсы. Правда эта гребаная проприетара - достаточно халтурна и пароль на биос обычно весьма халтурненько сделан и легко сбрасывается. Ну в общем если хаксор может до вашего сервака физически дорваться - ничего хорошего ожидать не приходится особо.
> Да и вообще я не уверен что ты смог бы поставить и настроить опёнка,
> на одном из этапов наверняка бы сломался, оплевался и поставил гламурный линукс
У меня нет самоцели погеморроиться по максимуму чтобы доказать кому-то что-то. У меня есть некие задачи/хотелки, я хочу с ними разобраться, логично что я хочу достичь целей с минимальными затратами усилий (геморрой как самоцель - странный goal). "Гламурный" линукс неплохо с этим справляется. А понтоваться операционкой - одна из наиболее глупых затей которые я видел. Остается только вопрос: а нахрена мне порция геморроя на ровном месте? Например, если защищаться от сетевых атак - есть ли у вас уверенность что виртуалка с минимальной системой-пингвином в ней, с минимумом модулей и софта - более дырява? А от физического доступа защищаться... эээ от кувалдометра у недруга так просто не защитишься. А у банкоматов, автоматов оплаты и прочих бронированных систем, где от физического доступа более-менее защищаются я что-то не видел доступных всем юсб-разъемов, для начала. Ну и как их ломать через юсб? Также я плохо представляю себе вирус, который потребует от юзера не просто флеху, а спецдевайс, что зарубает идею самоходности такого ПО :). В итоге думается десяток гиков сломает локалхост :). А диверсант в датацентре или около компа - всяко свое поимеет, так или иначе. Читайте вон у дихалта как он специально подготовленной мышкой файлы с станка упер, дело было под виндой, но там в принципе прокатила бы и любая иная ос способная работать с флешками :)
>> Кстати, при физическом доступе к машине когда я могу кастомный девайс
>> в юсб впихнуть - я могу и загрузиться с своей флехи,
>> вероятно. После чего я получу полные права в совершенно любой системе :)
> перезагрузка сервера сразу вызовет тревогу в нормальном датацентре, мониторинг сейчас
> даже самые ленивые луноходы ставят.
Ленивые все-таки не ставят :). Хотя действо безусловно более заметное, да :).Но даунтаймы или проблемы роутинга так или иначе иногда случаются у всех. Если на каждый глюк маршрутов продолжающийся 10 минут извергать кирпичи и звонить в датацентр - вы очень скоро поседеете и захотите на пенсию...
> Ну и кстате на пошифрованных разделах перезагрузка с usb не особо поможет.
> Да таковых мало, но если брать mission critical типа банков,
Если брать например типичный банкомат - я что-то не вижу там юсб разъема вообще, для начала. Он, наверное, где-то есть, но думается мне что для доступа к нему надо совершать какие-то очень подозрительные действия и довольно долго, полисмены воспримут эти попытки крайне отрицательно :). А если банк позволяет гулять в своих процессинговых центрах кому попало с флешками или там как еще - блин, ну и кто им доктор?
> то там во первых стоят hp-ux по 64 камня, а во вторых ты его и перегрузить не
> сможешь, ибо даже не знаешь как :)
Для начала, я сильно удивлюсь если смогу невозбранно разгуливать там с флехой и имея подозрительные намерения :). Такой банк просто напрашивается чтобы его расхакали нафиг :)
>> наподдал и FreeBSD в этом плане. А остальные как-то и не
> ля-ля не надо, всегда когда приезжает апдейт все чотко написано вплоть до diff,
Да при чем тут диффы? В случае git у меня просто "по дефолту" вся истоирия коммитов есть, елки. А paxuser про другое совсем. Профайл оного: http://www.opennet.ru/~paxuser а некоторые моменты относительно его точек зрения можно найти например примерно тут: http://www.opennet.ru/openforum/vsluhforumID3/71986.html?n=p...
И у него есть крупный плюс: он явно интересуется предметом и может внятно аргументировать свою точку зрения. Фрибсд он раздал по самые небалуйся, при том достаточно убедительно и я не видел чтобы бсдуны умудрились внятно ему что-то возразить на его аргументацию. Он кстати и ряду линухов раздал вполне себе чувствительно, и не то чтобы без причин :). И да, если долбит паранойя - любимый этим товарисчем PaX выглядит довольно интересно :)
> кто-то чота там рассказывал... мне про линукс тоже всякую муйню
> рассказывают, это же не отменяет свою голову на плечах.
А упомянутый товарисч явно обладает своей головой на плечах и интересуется секурити.
>> Ну с таким подходом и линуховое ядро - типа секурно: выносите
>> все лишние подсистемы, запрещаете загрузку модулей. Враг не пройдет :).
> У FreeBSD как и у OpenBSD проблемы с драйверами это протухшая новость 2003 года.
Угу, конечно, особенно заметно на ноутбуках например :). На эмбеддовке они вообще почти не представлены. И даже юсб-звуковуха имеет право на жизнь. Не на сервере так в составе сетевого медиа-центра, мля.
> Еще раз, на тачке с которой я пишу стоит FreeBSD, все железо работает.
> 2х интерфейсные интеловые igb, видяха от nvidia,
Ага. Запустите эту вашу фрю на новомодной тегре от нвидия. А что, видеокарта там от нвидии, а то что она на 1 чипе с армовским ядром - ну да. И что? А чем арм хуже остальных как проц? Команды выполняет, даже довольно резво для своего мизерного потребления - камень на гигагерц с гаком, работающий не то что без кулера а даже без радиатора толком - это нехило, а? :)
> звучки аж две набортная, и кривотивная,
У меня аж три :) еще и видеокарта с HDMI оказывается котируется как звуоковуха. Сижу я и думаю: вот нахрена б мне 3 звуковухи, а? :))
> всякие проводочки аля usb -> serial,
У меня наверняка найдется парочка подленьких экземпляров :)).И кстати как там libusb у вас поживает? А то там до сих пор написано что бета-версия, некоторые вызовы не реализованы, бла-бла. Зато под расово верной лицензией. Бздуны такие бздуны :)
> всякие usb -> ethrnet погремушки, wi-fi пашет опятьже... все пашет из коробки,
Даже .n вайфай? И на каких чипаках? Атерос? Броадком? Ралинк? Интель? Кого я еще забыл? :)
> без траха с ядрами. Так что опять мимо... А вот линуксовое ядро в том то
> и дело "типа секурно". Все делают вид что линукс не пробиваем,
> но сравнивают почему-то всегда с вендой,
Специально для таких как вы paxuser неслабо прошелся по разным ядрам, вариантам укрепления оных и прочая. Почитайте, весьма познавательно :)
> но сравнивая с OpenBSD, это просто слёзы..
Ага, с опенбсд слезы будут по другому поводу, когда не заработает любимая железка, нет нормальной современной файловой системы, паршиво поддерживается многопроцессорное железо, etc. И если фря еще более-менее активировалась и взамен там баги гребут лопатой ("не ошибается тот кто ничего не делает") то опенок... ну в общем он весьма на любителя с такими темпами развития. Следующим шагом после установки опенка должен быть переезд в укрепленный подземный бункер. На всякий случай. А то что неудобно и ограничений много - ну извините, юзерам оного к геморрою все-равно не привыкать :)
