Re: FW: Kernel dla sarge
On Mon, 12 Dec 2005, Artur Dulęba wrote:
1. Dystrybucyjne jądra debiana są dziurawe i nikt ich nie łata
One są łatane, jednak nie są likwidowane wszystkie dziury.
To co z takiego łatania jak nie są likwidowane dziury? Poza tym ja jakoś
nie widzę, aby pojawiło się połatane jakąkolwiek łatą jadro 2.4.27 oraz
2.6.8.
2. Developerzy debiana o tym wiedzą, gdyż sami nie stosują ich na
własnych serwerach tylko podmieniają jądra na najnowsze gdy tylko sie
takie pokażą (raz zapomnieli to zrobic co skończyło się włamaniem).
To akurat nie musi tego potwierdzać. Obowiązkiem deweloperów debiana
jest testowanie nowych pakietów, nowych jąder również. Powinny więc być
na maszynach przez nich używanych.
Chyba żartujesz! Developerzy maja testowac nowe, niebezpieczne jądra na
maszynach produkcyjnych na których odbywa się proces rozwijania debiana???
Prawda jest taka, że oni dobrze wiedzą o dziurach w dystrybucyjnych
jądrach, z jakiegos powodu ich nie łatają, z jakiegoś powodu utrzymują
kultową teorię o zbawiennym zamrażaniu wszystkiego co się da, ale na
własnych serwerach tych zasad nie stosują (w każdym razie w stosunku do
jadra).
3. Zamrażanie jądra linuksa w debianie to poważny błąd - tylko najnowsze
jądro mozna uznać za bezpieczne.
Skoro w każdym jądrze są znajdowane po jakimś czasie dziury, to raczej
nie 'bezpieczne' ale z jeszcze nieznanymi dziurami. To jednak
bezpośredni problem jądra linuksa (nie zmienia to faktu, że to też
problem debiana).
Tu się z Tobą w pełni zgadzam, tylko bym to wyraził inaczej - nie wiadomo,
czy w najnowszym jadrze są jakieś dziury. Być może że nie ma dziur
krytycznych dla bezpieczeństwa, tylko drobne usterki (np. w obsłudze
urządzeń). Jeśli są jakieś poważne błędy to jeszczxe ich nie wykryto, co
oznacza, że nikt ich nie może wykorzystać. W przypadku starych jąder są
już odkryte poważne dziury, a exploity na icj wykorzystanie można znaleźć
w sieci - takie jadro jest potencjalnie niebezpieczne.
Dużo z tego co piszesz jest prawdą, ale mam proste pytanie:
Czy masz złoty środek na zaradzenie temu problemowi w dystrybucji
debian (przecież deweloperzy debiana to zapewne mądrzy ludzie i chyba
większość pomysłów, które nam przyszły do głowy także rozważali)?
Już wcześniej pisałem, że w sprawach bezpieczeństwa nie ma złotego środka
:-)
W przypadku jądra linuksa widzę jedno proste rozwiązanie: wrzucenie
najnowszego jadra do volatile tak jak to jest robione np. z antywirem
amavis.
Jeśli chodzi o developerów debiana to chylę przed nimi głowę gdyż odwalają
kawał dobrej roboty. Jednak moim zdaniem do sprawy zamrażania wszystkiego
co się da podeszli zbyt kultowo. Pewnym wyłomem w tym szkodliwym moim
zdaniem podejściu kultowego traktowania teorii o zamrażaniu jako
złotego środka na stabilność i bezpieczeństwo jest utworzenie repozytorum
volatile, którego za czasów Woody nie było.
Pozdr.
Marek
Reply to: