bezpecnost

[Dan Lukes]

Jan Kulveit wrote:
> to asi zavisi na to, co povazujes za "bezpecnost jako takovou".

	To rozhodne ;-)

> Mam dojem, ze OpenBSD se snazi o takovou bezpecnost, kde zakladni
> jedotkou je pocet vzdalne exploitovatelnych chyb / jednotku casu,
> v zakladni instalaci.
> A je v tom dobre, nic proti.
> 
> OpenBSDckari prominou, ale co se tyce bezpecnosti, kde se vyskytujou
> pojmy jako "bezpecnostni model" nebo "MAC", mam dojem, ze OpenBSD v
> tom je a vzdy bylo mezi free OS jedno z nejhorsich.

	Oboji je patrne pravda. I kdyz to prvni bych spis formuloval tak, ze se
snazi o "cisty" kod, ve kterem nedochazi k preteceni mezi v polich,
preteceni zasobniku a jinym podobnym bezpecnostnim incidentum.

	Ja vychazel z toho, ze kdyz uz mi system neco poskdytuje, je treba, aby
to poskytoval spolehlive a v tomto ohledu mi pripada OpenBSD takove
peclivejsi. FreeBSD se o tohle prilis nesnazi a dokonce mam dojem, ze v
posledni dobe zacina byt naprosto bezne, ze se do oficialnich RELEASE
dostava kod, o ktere se sotva da rict, ze je to kvalitativne BETA. No a
kdyz neni cas ani na poradnou funkcnost - tak na "cistotu" kodu uz neni
cas tuplem.

	Z tohoto pohledu je sice hezke, ze mam k dispozici MAC, ale s duverou,
ze dela to (a prave jen to), co ma - a i kdyby konkretne MAC ano - ze
system pod nim dela prave a pouze a korektne jen to co ma to tak zhave
uz neni.

	Osobne si myslim, ze system, kde sice zadne MAC neni, ale to, co tam
je, tak tomu se verit da je bezpecnejsi - protoze opatreni, ktera si na
nej navrhnu budou odpovidajici moznostem toho systemu. Tady se spolehnu
na featuru X a az se ukaze, ze ona za urcitych okolnosti nefunguje
spravne, tak bude problem.

	Proste, OpenBSD sice nema k dispozici urcite nastroje, ale kdysi se
pokusilo o jakysi interni bezpecnostni audit sveho kodu. Coz je neco, na
co FreeBSD nezkusilo ani pomyslet, natoz to realizovat (a do jiste miry
dokonce provadi pasivni rezistenci, ktera brani zajemcum neco takoveho
zkusit udelat) . A to pri uvahach o bezpecnosti toho ktereho systemu
nelze pominout.

	Nicmene, nerad bych tu rozviril flame na toto tema, je to jen muj nazor
a vsichni ti, co se mnou nesouhlasim maji jiste take pravdu.

> Doporucoval bych se spis poohlednout po Linuxech, keywords do googlu
> RSBAC, grsecurity, SE Linux,... 

	Tak to je tak epravda, ale az takhle drzy jsem se v konferenci o
FreeBSD byt neodvazil ;-)

	Navic bych si musel ujasnit, co si myslim o peclivosti koderu Linuxu ...

						Dan