> Да, такой главный вывод. Написано же прямым текстом: фря сосёт. Вот тут:
>>>> – Lots of hardening you can do on your own
>>>> – grsecurity / PaX / KERNHEAP patchsets [26,14] Я уже читал что MAC вы считаете лишь помощником руткитерам, а подсистему Audit вообще лишенной смысла. Ваше право, считайте. Я же считаю что в Линуксах просто необходимы вышеприведенные техники защиты. В первую очередь потому, что проще оказалось изобрести имено эти системы нежели в общем следить за качеством кода. Эдакий выстрел из пушки по воробьям. С другой стороны я так понимаю вы готовы поставить на то, что с исользованием данных техник ваш линукс перестал быть уязвимым априори? grsecurity / PaX / KERNHEAP patchsets все это bug free?
> Афтар перечислил patchsets, с которыми значительно возрастает сложность эксплуатации
> любой из этих "найденных дыр", либо все последствия сводится к DoS
> в худшем случае. А во FreeBSD из всех средств защиты ядра
> - недавно добавленный запрет на маппинги по нулевому адресу. Поэтому к
> DoS там сводятся только обращения по нулевому указателю. Эксплуатации остальных классов
> уязвимостей ничто не мешает. И это при том, что юзерленд практически
> не защищён.
Патчесеты стоит заметить не в mainline. Во FreBSD есть поддержка DEP, MAC, AUDIT, есть _securelevel >=2 в конце концов, и в целом более качественный код. Заметь у меня нет задачи заставить вас использовать FreeBSD, Боже упаси. Мне вообще до лампочки что у вас используется. Мое мнение такое фря развивается на жалкие 300 тысяч в год, при этом уровень безопасности системы достаточно высок, количество vulns относительно небольшое. Наличие MAC и AUDIT позволяют поднять уровень безопасности.
>> Ок, вывод - патчить фрю мне приходится гораздо реже, в security@ _сразу_
>> приезжает описание с дырой, и что надо сделать. И еще момент
> Это хорошо. Только вы не понимаете, что ваши патчи защищают от взлома
> через публично известные дырки, реактивно. А те patchsets - от целых
> классов, проактивно.
Соглашусь, но и эти патчсеты можно обойти. Да со всеми фишками аля PaX, grsec., patchsets, линукс безусловно надежнее. Но не кажется ли вам что нужно лечить болезнь, а не ее симптомы. Учитывая что в линукс вкладываются чуть ли не миллиарды денег, Торвальдс отрицает наличие проблемы с безопасностью как таковой.
> Я уже высказывал своё недовольство по этому поводу. Уже писал, что из-за
> Торвальдса в линуксе бардак с безопасностью. И что код во FreeBSD
> более качественный и стабильный. А вы продолжайте читать по диагонали.
Да читал я все, однако заметил огромную предвзятость, поэтому и ответил в том же ключе.
>> утверждать то что линукс типа православен и тамошний Фюрер, конечно Фюрер,
>> но белый и пушистый да.
> На самом деле седой и волосатый. Хотя если по диагонали посмотреть...
Слова Фюрера о том что его полностью устраивает текущее качество кода и полное отрицание проблем с безопасностью наводит знаете на мысли. Если человек _верит_ в то, что плод его творчества не требует работы над качеством и безопасностью при этом продолжает обрабатывать патчи на скорости граничащей со здравым смыслом, у меня это как минимум вызовет вопросы. Безопасным такой подход назвать никак нельзя.
>> Ну а по сути то что? Выводы хоть какие-то есть? Или...
> Есть. Вы просто не умеете их внимательно читать.
Да уже просто стебусь на самом деле.
>> 1. Мои системы достаточно защищены, защита применяется как пассивная так и активная,
>> там где это надо, в локальном DC в комплексе используются технологии
>> от Cisco, OpenBSD, FreeBSD и частично как это не увидительно -
>> линукс, использую тот же CentOS.
>> 2. Количество security officer там где это надо больше одного, ибо один
> Вы что-то конкретное рассказать можете, пример какой-нибудь, технологии, методы? Чем офицеры
> заняты?
Да вобщем-то ничего особенного, утомительно все перечислять. Эти люди _верят_ в то, что основная угроза безопасности исходит не снаружи, а изнутри сети. В паблике крутится 3 сайта, все три сайта, вместе с движком изначально были переданы на аудит безопасности сторонней конторе, контора подтвердила высокий статус безопасности. Sec. officers занимаются в частности тем, что обрабатывают все нештатные попытки эскалации привилегий. Просматривают все файлы которые юзера копируют на флешки или с нее. Делать это можно только на _одной_ выделенной машине. Включение инета юзеру автоматически отключает его от локалки, и включает полный мониторинг всех его действий, видео и скрипты хранятся потом отдельно, сам инет выдается только по распоряжению руководства и через пачку фильтров. Про активный мониторинг траффика, Cisco IDS/IPS, договора с апстримами о предотвращении DOS атак я уже и не говорю. Вобщем все это на них включая логи, СКУД, видеокамеры, три кольца охраны, кучу формализаций и регламетов которые они выдают на гора и тд. Основная идея комплексная безопасность, начиная от аккуратного выбора софта, заканчивая человеческим фактором. Да даже собеседования при приеме на работу у нас проводит бывший офицер ГБ, суровый дядька, тоже входит в security department.
> Судя по тону и весу аргументации, я с этим завязал ещё до
> того, как вы в 5-ый класс пошли.
Ну если для вас Тео неуч, Крис Касперски лох, то моя критика это уровень 5го класса, не больше. Не знаю как ваш, а мой пятый класс был в далёком совке, во времена ЕС ЭВМ и трамвая по 3 копейки.
Дальнейшую дисскуссию считаю лишенной смысла, ибо мне вам что-то доказывать абсолютно не впёрлось. Если вы всетаки напишите POSIX совместимое чудо-ядро на эрланге я пожалуй первым это попробую, удручает только то что небезопасный Си использовали при написании безопасного эрланга. Тоже как-то не стыкуется с вашей же теорией тотальной безопасности.
