[Volgograd] поп дистрибути

[Lebedev Sergey]

On 05 Dec, 05:23, Pavel Bezborodov wrote:
> Привет всем!
> 
> >> Насчёт ФрииБЗДи и инетпровайдеров есть некое подозрение, что она
> >> изначально, как утверждают разрабочики бзди,
> 
> Утверждать можно все что угодно, не правда ли? Особенно если ты
> разработчик. Ты же не будешь говорить "я написал операционку, только
> вот защита у нее... ну вощем никакая"
> 
> >> настроенная по умолчанию уже очень защищена
> 
> Ох уж это "очень"...  Скорее всего не более, чем любой линукс, виндоуз,
> солярис или чего там еще.  Xbox тоже была очень защищена даже на уровне
> hardware. А сайты Минобороны США и всяких там НАСА тоже "очень"
> защищены, так находятся же малолетние Кулибины, которые играючи
> проникают в мега-секретные сети.
> 
> RB> Так утверждают разработчики OpenBSD, лозунг "secure by default"
> 
> Глядя на этот лозунг, я только что придумал его продолжение: "UNsecure
> by fault" ;)
> 
> RB> принадлежит им.  
> 
> В прошлом году я являлся свидетелем, как один юный ><@I<Ep, скрывающий
> свое имя под ником ... Забыл уже под каким ником он скрывает свое имя
> Андрей ;) Так вот, он умудрился зайти на сайт openbsd.org ssh'ем,
> свободно разгуливал там по каталогам, в шутку угрожая чего-нибудь
> стереть. Он остроумно отметил, что приставка Open в названии
> OpenBSD означает как раз то, что мол "заходи кто хочешь, бери что
> хочешь..." ;) После этого, он правда написал письмо разработчикам
> OpenBSD описанием ошибки и метода взлома, на что в ответ те выразили ему
> огромный респект и пообещали исправится.

Наверное исправили, но вот за последние 2-3 месяца наибольшее
количество уязвимостей было именно в этой "заходи кто хочешь,
бери что хочешь...". Всех желающих прошу за exploit'ами на
google.com.ru. 

А вообще по поводу защищенности или отсутствие оной все сводится к
умениям администратора. Реальные примеры существуют и у нас в
университете. Дыры о которых сообщалось 2-3 года назад,
разгуливают по компьютерам, при этом никто и не чешется
чего-нибудь исправлять. Спасибо отдельное Тарасу, только
благодаря ему я узнал, что компьютер действительно может быть
защищен. Дырки как они появлялись так  и будут появляться, все
зависит от расторопности сисадмина. Уже полгода пытаюсь быть
расторопнее Тараса, но он успевает сервера пропатчить, а потом
еще и поглумиться: "Чего, Серега, не получается каменный
цветочек." :) Вот уже и надоедать стало, найдешь машину в сети,
приглядишься - Linux => настраивал Тарас => ничего с ней не
сделаешь.

По поводу последней дырки в ядре Linux'а.

Я в community уже писал, но ответа походу не дождусь.

Меня интересует как у ALT'овцев такое могло произойти, а
конкретнее:

Ядро 2.4.20-alt10 _с_исправленной_ дыркой вышло 25 сентября сего
года. В анонсе от security-anonce была полная тишина насчет
уязвимости в ядре, а я еще тогда удивлялся к чему оно было
выпущено. Это первый вопрос - отсутствие информации о баге.

Второй. Тарас с Москвы привез срез Sisyphus'а за 06.10.2003 с
ядром 2.4.22-alt5. В этом и последующих ядрах вплоть до alt12
дырка присутствует. Почему не исправили если знали?

И наконец третий. Почему security-anonce об ошибке сообщил
только, после того как об дырке в ядре стало известно половину
интернета. Ведь о ней сообщили redhat'овцы, если не ошибаюсь. А
если бы никто не сообщил, что линейка 2.4.22 так бы и шла с
дыркой? 

Почему так получилось? Никто не задумывался? Если это ошибки
разработчиков, то очень уж грубые. А если нет?

> >> так сказать никакого напряга)))ИМХО
> >> и мозгов)))
> 
> Мозгов Тургенева? ;)
> -- 
> С уважением,
>  Павел Алексеевич

-- 
Чудес не бывает.