[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Welke Debian versie moet ik hebbenOn Mon, Mar 14, 2011 at 12:09:50PM +0100, Winfried Tilanus wrote:
> On 03/14/2011 Paul van der Vlis wrote:
> 
> Hoi,
> 
> > > De compiler-opties staan bij Ubuntu beter, maar nog niet goed.
> > > > Als je checksec.sh eens loslaat op een eigen systeem moet je je eens 
> > > > afvragen waarom niet alle applicaties niet standaard goed worden 
> > > > afgeleverd. 
> > 
> > Waarschijnlijk gaat het puur om een extra security laag.
> > 
> > Met andere woorden: ook zonder deze extra laag is het veilig, alleen kan
> > het nog veiliger. Zoiets als: het pand is goed beveiligd, daarin staat
> > een goede kluis die de meest waardevolle spullen bevat, nu wordt de
> > kluis ook nog in beton gegoten.
> 
> Het is beter om in 'aanvals paden' te denken dan in 'beveiligings lagen'.
> 
> Voor een aantal aanvalspaden kan het aanscherpen van de compileropties
> inderdaad een afdoende tegenmaatregel zijn. Maar voor veel (en zeker de
> meest gebruikte) aanvalspaden zijn die compiler opties niet relevant. Ik
> zou zelf mijn geld liever inzetten op goede en snelle patches, goede
> configuraties en goede procedures bij de gebruikers (en vooral de
> beheerders).

In plaats van bovenstaande reactieve houding ten opzichte van security
ben ik zelf meer een voorstander van een stricter OS en een betere balans 
tussen security en performance.

De compiler-opties zijn maar een voorbeeld van zaken die weinig kosten 
en structureel verbetering brengen. Als deze standaard aanwezig zouden 
zijn in een distributie is dat een pre. 

Ik zie een goede beheerder in het verlengde van een stricter OS. Deze
sluiten elkaar niet uit, kunnen elkaar niet vervangen, maar vullen 
elkaar aan. Zeg maar gereedschap voor de vakman.

Met vriendelijke groet,
Huub Reuver


Reply to: