Re: FW: Kernel dla sarge

[Marek Olejniczak <marek@olmar.poznan.pl>]

On Mon, 12 Dec 2005, Artur Dulęba wrote:

> > 1. Dystrybucyjne jądra debiana są dziurawe i nikt ich nie łata
>
> One są łatane, jednak nie są likwidowane wszystkie dziury.

To co z takiego łatania jak nie są likwidowane dziury? Poza tym ja jakoś 
nie widzę, aby pojawiło się połatane jakąkolwiek łatą jadro 2.4.27 oraz 
2.6.8.

> > 2. Developerzy debiana o tym wiedzą, gdyż sami nie stosują ich na
> > własnych serwerach tylko podmieniają jądra na najnowsze gdy tylko sie
> > takie pokażą (raz zapomnieli to zrobic co skończyło się włamaniem).
>
> To akurat nie musi tego potwierdzać. Obowiązkiem deweloperów debiana
> jest testowanie nowych pakietów, nowych jąder również. Powinny więc być
> na maszynach przez nich używanych.

Chyba żartujesz! Developerzy maja testowac nowe, niebezpieczne jądra na 
maszynach produkcyjnych na których odbywa się proces rozwijania debiana???

Prawda jest taka, że oni dobrze wiedzą o dziurach w dystrybucyjnych 
jądrach, z jakiegos powodu ich nie łatają, z jakiegoś powodu utrzymują 
kultową teorię o zbawiennym zamrażaniu wszystkiego co się da, ale na 
własnych serwerach tych zasad nie stosują (w każdym razie w stosunku do 
jadra).

> > 3. Zamrażanie jądra linuksa w debianie to poważny błąd - tylko najnowsze
> > jądro mozna uznać za bezpieczne.
>
> Skoro w każdym jądrze są znajdowane po jakimś czasie dziury, to raczej
> nie 'bezpieczne' ale z jeszcze nieznanymi dziurami. To jednak
> bezpośredni problem jądra linuksa (nie zmienia to faktu, że to też
> problem debiana).

Tu się z Tobą w pełni zgadzam, tylko bym to wyraził inaczej - nie wiadomo, 
czy w najnowszym jadrze są jakieś dziury. Być może że nie ma dziur 
krytycznych dla bezpieczeństwa, tylko drobne usterki (np. w obsłudze 
urządzeń). Jeśli są jakieś poważne błędy to jeszczxe ich nie wykryto, co 
oznacza, że nikt ich nie może wykorzystać. W przypadku starych jąder są 
już odkryte poważne dziury, a exploity na icj wykorzystanie można znaleźć 
w sieci - takie jadro jest potencjalnie niebezpieczne.

> Dużo z tego co piszesz jest prawdą, ale mam proste pytanie:
> Czy masz złoty środek na zaradzenie temu problemowi w dystrybucji
> debian (przecież deweloperzy debiana to zapewne mądrzy ludzie i chyba
> większość pomysłów, które nam przyszły do głowy także rozważali)?

Już wcześniej pisałem, że w sprawach bezpieczeństwa nie ma złotego środka 
:-)

W przypadku jądra linuksa widzę jedno proste rozwiązanie: wrzucenie 
najnowszego jadra do volatile tak jak to jest robione np. z antywirem 
amavis.

Jeśli chodzi o developerów debiana to chylę przed nimi głowę gdyż odwalają 
kawał dobrej roboty. Jednak moim zdaniem do sprawy zamrażania wszystkiego 
co się da podeszli zbyt kultowo. Pewnym wyłomem w tym szkodliwym moim 
zdaniem podejściu kultowego traktowania teorii o zamrażaniu jako 
złotego środka na stabilność i bezpieczeństwo jest utworzenie repozytorum 
volatile, którego za czasów Woody nie było.

Pozdr.

Marek