[es] - Linux Kernel Security is Lacking

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.

Profil

Re: Linux Kernel Security is Lacking

^{04.02.2005. u 01:56 - pre 234 meseci}

Citat:

littleboy: Rijec je o Microsoftovom 'temeljitom' istrazivanju, ne o izboru browsera.

Imaš par tema ranije Zalewski govori kako ja na njegov fuzzer (mangleme) bio otporan jedino IE. Osim toga, nije MS taj koji svaka 2 tjedna izdaje novu verziju svoga softvera.

Citat:

Bilo je na Slashdotu, review neki ... bilo je davno tako da se ne sjecam URLa, a nemam vremena da trazim sad.
Takodje, mozda nije bio SP2 u pitanju, uglavnom je bio neki SP koji je patchovao neki critical hole, cak je bilo pominjano i na ES-u cini mi se.

Što se babi snilo...

Citat:

Pored toga, zasto porediti apache 2.0 ? Sto ne uporedis Apache 1.x ?

MS-DOS, MS-DOS!!

Citat:

A evo i jedan zanimljiv URL:...

Netcraftove statistike su pogrešne zbog bezbroj virutalnih hostova.

Evo ti dva zanimljiva grafa:

Citat:

Pa naravno da je lud, al to nije problem ovde ... problem je sto windows(komercijalni proizvod veoma veoma bogate firme) ne zna da se ponasa, a svakom se moze desiti slucajno da ubaci isti.

A daaaaj...koliko je linuxu trebalo da u kernelu dobije podršku za autorun tih istih optičkih medija??

Citat:

Point je da Linux ne moras reinstalirati a windows moras l

Point je da redovito apt-upgrade-an linux star 6-9 mjeseci malo ima veze sa originalnom instalacijom. Za win to odradiš u komadu. Nikad se nisam zadovoljavao mrvicama :)

Citat:

Ma daj, poredis semafor i download softvera ?

Semafor je onaj debilan dijalog "JESTE LI SIGURNI VI O GLUPI KORISNIČE DA ŽELITE POKRENUTI NEPOZNATU ACTIVEX KONTROLU SA SAJTA SUMNJIVOG IZVORA" i on klikne Yes.

Citat:

Nema vizuelni(kolko ja znam)

Hvala na odgovoru, ne zanima me zašto nema.

Citat:

random: Kakve sad kućanice?? Posao je distributera da isporuči operativni sistem sa ovim dodacima, a Linux distributeri to već godinama rade.

Da čujem random, listu velikih linux distribucija (recimo od one velike sedmorke) koji imaju security-enhanced kernel po defaultu i userland zaštičen sa security-enhanced gcc. Pretvorio sam se u uho.

Citat:

Da li će grsec ili SElinux da se razvijaju u glavnoj grani Linux kernela ili kao odvojeni projekti apsolutno je nebitno za krajnjeg korisnika, to je politika o kojoj odlučuje Linus, i sigurno postoje razlozi zbog kojih takvi projekti nisu trenutno u glavnoj kernel distribuciji

O važno je, itekako je važno, da li d diktejtr ima viziju ili ne. MS ima i na njoj radi (gore sam nabrojao u kojim sve sferama). Kod nekih stvari vanilija+šlag+jagode princip ne radi baš dobro, ponekad je potrebno napraviti malo veći iskorak u sigurnosnim paradigmama, a ne se oslanjati na tamo nekog čovu na minimalcu.

Citat:

Lik koji je napisao članak je kao neki mladi student koji je prvi put u životu video UNIX i rekao „wow, Unix security model je s*****, ne mogu da verujem“.

Tko spominje UNIX? Nemoj miješati prave OS-eve sa linuxom. Linuxov security model je s*****. Zato jer ga nema.

Citat:

A poenta je u tome da većina korisnika i ne skida kernel sa kernel.org već koristi kernel dobijen od distributera

.

:) Tko je još vidio dirati svemoćni kernel :) Mislim da griješiš, da kernel.org ima na desetke, možda i stotine tisuća downloada mjesečno (ako netko ima prave statistike neka baci :), a ti kerneli od distributera su obično generički kerneli natrpani driverima za podrškom svega i sveačega, bez ikakvih opskurnih sigurnosnih dodataka, što samo pokazuje da ovaj "student" govori istinu :)

Citat:

Dalje, očigledno je da to nije razumeo i dotični mladić, pisac članka na SecurityFocus-u, čim govori o „select few who probably have the least use for it“.

To su oni wannabe admini o kome Zidoo govori :> Ja ne znam normalnog, prosječnog linux korisnika koji ih koristi.

Ali whatever. Cilj članka je širi od samog kernela. A to je da je raspršenost open source projekata uzrok kaosa i da je nekad bolje imati tvrdu ruku (tj. MS) koja će prisiliti dio softverske industrije u pravom smjeru.

Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.

Profil

Re: Linux Kernel Security is Lacking

^{04.02.2005. u 01:59 - pre 234 meseci}

Citat:

degojs: Managed kod nije nešto novo, a na raspolaganju je i za druge OS. Ali avaj, od toga se niko još leba nije najeo :) Šta će biti za 5 godina, ne znam.. ali danas, na desktopu, niiištaaaaaaaaaaa.

Kako ništa? Pa ima tona .NET/Java programčića svugdje oko tebe. I na desktopu, i na webu.....

Odgovor na temu

degojs

Član broj: 4716
Poruke: 5096

+51 Profil

Re: Linux Kernel Security is Lacking

^{04.02.2005. u 02:03 - pre 234 meseci}

Ozbiljno? Ja nemam, koliko znam, niti jedan.

Ne računajući ono što sam malo radim ili sam radio.

Commercial-Free !!!

Odgovor na temu

random
Vladimir Vrzić
Beograd

Član broj: 85
Poruke: 3866
*.f.bg.ac.yu.

Sajt: www.last.fm/user/vrza

+4 Profil

Re: Linux Kernel Security is Lacking

^{04.02.2005. u 05:42 - pre 234 meseci}

Citat:

Fedora Core, Debian Sid, Hardened Gentoo. SuSE 9.x i SLES 9 zasad samo delimično. Traži po Google-tu, neću ja da ti iskopavam linkove (da ne bi ispadalo da lažem). Pored toga priča je išla oko toga šta je posao distributera, a šta posao kućanice. I nemoj da si tako arogantan, teško da će te neko ozbiljno i shvatiti sa takvim stavom, a kamoli poželeti da s tobom vodi neku ozbiljnu raspravu.

Citat:

Tko spominje UNIX? Nemoj miješati prave OS-eve sa linuxom. Linuxov security model je s*****. Zato jer ga nema.

Ja ga spominjem. Linux security model je po dizajnu jako blizak originalnom Unix-u (u suštini se najslabija tačka svodi na to da postoje samo dva nivoa izvršavanja koda, kernel i userland, i kada neki kod uspe da „preskoči“ ovu barijeru ima neograničen pristup svim resursima sistema). Takav security model je zastareo, i to barem već jednu celu deceniju nije nikakva novost.

Citat:

:) Tko je još vidio dirati svemoćni kernel :) Mislim da griješiš, da kernel.org ima na desetke, možda i stotine tisuća downloada mjesečno (ako netko ima prave statistike neka baci :), a ti kerneli od distributera su obično generički kerneli natrpani driverima za podrškom svega i sveačega, bez ikakvih opskurnih sigurnosnih dodataka, što samo pokazuje da ovaj "student" govori istinu :)

Ti ljudi koji kompajliraju svoje kernele su entuzijasti, vrlo često nedovoljno upućeni, i to rade jer im je neko ubacio rovca da će time nešto dobiti na performansama. Taj broj je daleko, daleko manji od broja ljudi koji koriste kernel dobijen od distributera. U nekom eventualnom slučaju masovnog proboja Linuksa na desktop, broj ljudi koji koriste svoj kernel bi bio smešan, a sigurno daleko manji od broja ljudi koji sami instaliraju Service Pack.

Zašto bi korisnik uopšte morao da zna šta je kernel? Zašto bi morao da ga kompajlira? Ko je tebe ubedio da Linux korisnici masovno kompajliraju svoje kernele? Još gore, zašto misliš da je to nekom iole značajnom procentu ljudi uopšte potrebno :o).

Hm, svakako ne bih išao tako daleko da „sigurnosne dodatke“ nazivam „opskurnim“. A ovo što si rekao za kernele od distributera ne pokazuje neku naročitu upućenost, iznad one površne, početničke.

Citat:

To su oni wannabe admini o kome Zidoo govori :> Ja ne znam normalnog, prosječnog linux korisnika koji ih koristi.

Osim npr. svih korisnika Fedore, odnosno onih koji pri instalaciji nisu eksplicitno izabrali da ne žele SELinux.

Itd, itd. Ne verujem da ću dalje da nastavljam ovu raspravu ovde, osim ako se ne pojavi neko ko zaista zna o čemu priča. Trolling smara. Pozdrav svima, have fun.

int rand(void);

Those who do not understand Unix are condemned to reinvent it, poorly.

Upali lampicu — koristi Jabber!

Odgovor na temu

random
Vladimir Vrzić
Beograd

Član broj: 85
Poruke: 3866
*.f.bg.ac.yu.

Sajt: www.last.fm/user/vrza

+4 Profil

Re: Linux Kernel Security is Lacking

^{04.02.2005. u 07:22 - pre 234 meseci}

Citat:

Sundance:

Citat:

Nema vizuelni(kolko ja znam)

Hvala na odgovoru, ne zanima me zašto nema.

Ma najjače da nema...

www.fs-security.com

Trebalo bi da neko prođe kroz ovu temu i da pobroji koliko je polutačnih i netačnih informacija, kao i paušalnih ocena izneto.

Pouka za one sa jeftinijim ulaznicama: ne verujte svemu što pročitate na forumu...

int rand(void);

Those who do not understand Unix are condemned to reinvent it, poorly.

Upali lampicu — koristi Jabber!

Odgovor na temu

caboom
Igor Bogicevic
bgd

Član broj: 255
Poruke: 1503
80.93.230.*

ICQ: 60630914

+1 Profil

Re: Linux Kernel Security is Lacking

^{04.02.2005. u 15:08 - pre 234 meseci}

Citat:

littleboy:
Sta ti podrazumjevas pod production ?

nesto sto ces staviti na masinu ciji se jedno-minutni pad meri income-loss-om od nekoliko hiljada dolara pa navise. dakle ne kucna masina malog perice, ili web server malog provajdera.

Citat:

Zasto nisu production ready ? Rusi se .. sta ?

da, nemoj mi reci da ti se nije desavalo da ti zvekne pod teskim load-om, i I/O brljavljenjem? linux sa grsec patchevima ti nikada nije zveknuo na brand hw-u? phew, ja bas nemam srece i n'umem sNJim.

Citat:

Cisto pitam onako, informativno ..

i ja tako i odgovaram...

OV SM
LA PK

Odgovor na temu

littleboy
/home/sasa

Član broj: 14387
Poruke: 514
*.teol.net.

ICQ: 46124351
Sajt: littleboy.geek.rs.ba

Profil

Re: Linux Kernel Security is Lacking

^{04.02.2005. u 16:03 - pre 234 meseci}

Citat:

nesto sto ces staviti na masinu ciji se jedno-minutni pad meri income-loss-om od nekoliko hiljada dolara pa navise. dakle ne kucna masina malog perice, ili web server malog provajdera.

Ok, slazemo se u tome.

Citat:

da, nemoj mi reci da ti se nije desavalo da ti zvekne pod teskim load-om, i I/O brljavljenjem? linux sa grsec patchevima ti nikada nije zveknuo na brand hw-u? phew, ja bas nemam srece i n'umem sNJim.

Iskreno nije.. sad zavisi sta podrazumjevas tezak load ... na ovim mojim masinama je load oko 30 % cpu-a pa na vise.. konstantan.

Servuje se neki slashcode sajt, kojem je security na prvom mjestu jer ima stvarno stvarno mnogo neprijatelja, nesto tipa indymedia.

Naravno, reliability se podrazumjeva. Sigurno necu drzati server koji se svaki deseti dan rusi.

\x47 \x6f \x64 \x20 \x6d \x61 \x64 \x65 \x20 \x70 \x6f \x74 \x2e \x20 \x4d
\x61 \x6e \x20 \x6d \x61 \x64 \x65 \x20 \x62 \x65
\x65 \x72 \x2e \x20 \x57 \x68 \x6f \x20 \x64 \x6f \x20 \x79 \x6f \x75 \x20
\x74 \x72 \x75 \x73 \x74 \x20 \x3f

Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.

Profil

Re: Linux Kernel Security is Lacking

^{06.02.2005. u 03:40 - pre 234 meseci}

Citat:

random: Ma najjače da nema...

Sa http://www.fs-security.com/docs/policy-page.php

Citat:

The mode marked Permissive by default, blacklist traffic is how Firestarter starts out. As explained above, the outgoing traffic is not restricted in this mode and your network applications will work as normal. The policy groups on the outbound policy view serve to black list traffic in this mode, meaning they impose additional restrictions on the otherwise lenient policy.

Zanimljiva defaultna polisa...nema šta....

Reci mi random, očekuješ od početnika da ručno dodaje polisu za svaki pojedinačni program koji koristi?

Kad sam mislio na vizualni fw, mislio sam na ono što se na fw sa vizualnim upozorenjima podrazumijeva na win, a to je da

a) FW ima bazu komponenti OS-a i ugrađenih programa (sa njihovim checksumovima) koji po defaultu imaju pristup Internetu kao sigurni

b) FW blokira sve programe koje nema u toj bazi, kao što su 3rd party IRC klijenti, browseri...ali bogami i trojanci, virusi, spyware....

c) Jednom kad dopusti nekom određenom programu pristup Internetu (tj. kad mu dopusti spajanje preko ws2_32!connect(), FW spremi njegov checksum i spremi checksume i listu pripadnih dijeljenih biblioteka koje program koristi, u slučaju da ako ih promijeni virus ili recimo trojan injektira svoj DLL u njegov adresni prostor, da ga odmah spriječi)

d) Radi standardno inbound filtriranje kako korisnik definira, po defaultu podešeno na max sigurnost (što se i očekuje)

Reci mi random, jeli firestarter radi ovakvo nešto, zadnji put kad sam ga ja koristio nije, ili nisam dovoljno dobro pročitao dokumentaciju?

Citat:

Trebalo bi da neko prođe kroz ovu temu i da pobroji koliko je polutačnih i netačnih informacija, kao i paušalnih ocena izneto.

Speak for yourself.

Citat:

Pouka za one sa jeftinijim ulaznicama: ne verujte svemu što pročitate na forumu...

Istina. Netko bi mogao pomisliti da je ZoneAlarm Free portan na linux.

Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.

Profil

Re: Linux Kernel Security is Lacking

^{06.02.2005. u 03:59 - pre 234 meseci}

Citat:

U nekom eventualnom slučaju masovnog proboja Linuksa na desktop, broj ljudi koji koriste svoj kernel bi bio smešan, a sigurno daleko manji od broja ljudi koji sami instaliraju Service Pack.

SP nema nikakve veze sa pravljenjem custom verije kernela.

Citat:

Zašto bi korisnik uopšte morao da zna šta je kernel? Zašto bi morao da ga kompajlira? Ko je tebe ubedio da Linux korisnici masovno kompajliraju svoje kernele? Još gore, zašto misliš da je to nekom iole značajnom procentu ljudi uopšte potrebno.

Kako ono ide...da bi vaš komadić hardvera proradio, i da bi driveri mogli funkcionirati, make sure da je vaš kernel kompajliran sa tom i tom opcijom.....

Citat:

Nisam ni mislio na UM/KM, već na strategiju i pristup rješavanju sigurnosti u proaktivnom, a ne samo u reaktivnom modelu, u cjelini počevši od kernela. Činjenica da se radi o jednom velikom kaosu na više razina samo potpomaže nesigurnost cijelog modela. Kod pravih *nixa ima jedna grana u kojoj se točno zna tko koji lonac miješa

Citat:

Fedora Core, Debian Sid, Hardened Gentoo. SuSE 9.x i SLES 9 zasad samo delimično.

Zašto nisi spomenuo defaultne instalacije Xandros, Slackware, Mandrake, Mepis, Knoppix.. :>

Citat:

random: Osim npr. svih korisnika Fedore, odnosno onih koji pri instalaciji nisu eksplicitno izabrali da ne žele SELinux.

Dobro...znamo za fedoru, uhvatili ste se nje kao pijan plota...

Citat:

Itd, itd. Ne verujem da ću dalje da nastavljam ovu raspravu ovde, osim ako se ne pojavi neko ko zaista zna o čemu priča. Trolling smara. Pozdrav svima, have fun.

Aha.

Odgovor na temu