Re: Welke Debian versie moet ik hebben
On Mon, Mar 14, 2011 at 12:09:50PM +0100, Winfried Tilanus wrote:
> On 03/14/2011 Paul van der Vlis wrote:
>
> Hoi,
>
> > > De compiler-opties staan bij Ubuntu beter, maar nog niet goed.
> > > > Als je checksec.sh eens loslaat op een eigen systeem moet je je eens
> > > > afvragen waarom niet alle applicaties niet standaard goed worden
> > > > afgeleverd.
> >
> > Waarschijnlijk gaat het puur om een extra security laag.
> >
> > Met andere woorden: ook zonder deze extra laag is het veilig, alleen kan
> > het nog veiliger. Zoiets als: het pand is goed beveiligd, daarin staat
> > een goede kluis die de meest waardevolle spullen bevat, nu wordt de
> > kluis ook nog in beton gegoten.
>
> Het is beter om in 'aanvals paden' te denken dan in 'beveiligings lagen'.
>
> Voor een aantal aanvalspaden kan het aanscherpen van de compileropties
> inderdaad een afdoende tegenmaatregel zijn. Maar voor veel (en zeker de
> meest gebruikte) aanvalspaden zijn die compiler opties niet relevant. Ik
> zou zelf mijn geld liever inzetten op goede en snelle patches, goede
> configuraties en goede procedures bij de gebruikers (en vooral de
> beheerders).
In plaats van bovenstaande reactieve houding ten opzichte van security
ben ik zelf meer een voorstander van een stricter OS en een betere balans
tussen security en performance.
De compiler-opties zijn maar een voorbeeld van zaken die weinig kosten
en structureel verbetering brengen. Als deze standaard aanwezig zouden
zijn in een distributie is dat een pre.
Ik zie een goede beheerder in het verlengde van een stricter OS. Deze
sluiten elkaar niet uit, kunnen elkaar niet vervangen, maar vullen
elkaar aan. Zeg maar gereedschap voor de vakman.
Met vriendelijke groet,
Huub Reuver
Reply to: