[толкс] Что безопаснее?

А куда тебе?

Для локалхоста )

Я просто интересуюсь, понятное дело что для локалхоста хоть BolgenOS.

Статистику по взломам РХЕЛ и ХГ ты вряд ли где-нибудь найдешь, да и что она, собственно, покажет, эта статистика. Если бы вопрос встал ребром, я, наверное, все же потратился на РХЕЛ. Как-никак поддержка.

Hardened Gentoo

а ты, как ТС, вапще с секурити не знаком, поздравляю.

Откроешь светоч истины, о премудрый?

Откроешь светоч истины, о премудрый?

google => security in linux, смотреть в сторону chroot, selinux, pax, grsecurity и подобному.

Откроешь светоч истины, о премудрый?

ну или подожди нашего семинара о безопастности :)

Все правильно, такие штуки есть в Hardened Gentoo, в RHEL их можно поставить, но в генте это искаропки готово. Что не так? Просто там ошибка мейнтейнеров, которые мягко говоря не фуллтайм, может все испортить.

Ставь то, что ты лучше знаешь.

А Вы из какой компании и когда будет? :)
Не совсем понял, что именно Вам не понравилось в высказывании ТС? В принципе он прав, на данный момент только RHEL и HG нормально (без сильного гемороя с созданием политик, самостоятельным патчингом, перекомпиляцией (в генте любая установка и есть компиляция, которая проходит без лишних проблем для пользователя) и т.д.). Или Вы имели в виду, что ТС не указал угрозы, вероятного атакующего, стоимость данных и т.д.?
Или Вы про то, что ТС сразу спрашивает при дистриб, при этом не понимая, что, в первую очередь, ему надо знать про средства защиты, в них применяемые, а не про дистрибы?

Касаемо дистриба: в случае, если паранойя не зашкаливает, то можно юзать RHEL. мало того, насколько мне известно, у него куда больше уже готовых политик для приложений, чем в HG, а также есть визуальные средства для разбора полётов (например, визуальная всплывающая морда для разрешения доступа к сети, настройка доступа к файлам). У HG, вроде, такой красоты нет, однако есть PaX (и остальной GrSecurity), а также бОльшее количество runtime compile-in методов отслеживания повреждений памяти и стеков, контроль размеров буферов и т.п. HG является ЕДИНСТВЕННЫМ (не будем считаем её говнофорки) дистрибутивом в котором Selinux и GrSecurity могут существовать совместно, дополняя друг друга (однако, тут grsecurity не может контролировать доступ к файлам и сокетам, а также некоторые другие вещи). Плюс любые runtime методы, которые вставляет компилятор, легко могут быть применены/отменены для конкретного приложения, так и для всей системы, т.к. компиляция в генте очень простой процесс с точки зрения пользователя, в отличии от бинарных дистрибутивов.

Мне также непонятно, почему Вы тыкнули автора в chroot? если нужен подобный функционал, то не лучше ли использовать OpenVZ? реально безопасный chroot без SELinux невозможен, а его тонкая настройка - вообще ппц с SELinux, по сравнению с OpenVZ, в котором каждый контейнер изначально имеет собственное пространство процессов, tty, и сетевой адаптер. Плюс есть куча быдлодистрибутивов, в которых всё делается через WEB-интерфейс, а образы VM сразу загружаются с офф сайта.

Если я что-то сказал не так, или Вы хотите дополнить, то милости прошу :)

Ставь то, что ты лучше знаешь.

Да ладно? А я думал, что Вы посоветуете ТС OpenBSD (которая, якобы, безопасна из коробки) или ещё лучше TrustedBSD c SEBSD/OpenBSM (так и хочется написать OpenBDSM :) ), которые уже несколько лет как протухли (судя по оффсайту), дабы ТС был анальном BSD-рабстве и страдал от нехватки помощи со стороны комьюнити.

Я просто интересуюсь, понятное дело что для локалхоста хоть BolgenOS.

не надо 3.14здеть. В любом случае приложения должны быть собраны хотя бы с частью технологий (the gentoo) hardened toolchain (SSP, PIE) и hardened версиями библиотек (контролирующими размер буфера и другю фигню), поскольку chomium, FF, flash player (для него можно использовать libsafe, libverify, libparanoia (хотя не уверен, что либпаранойа, как предыдущие может через LD_PRELOAD работать), но это не даёт полной защиты), vlc и другие сетевые приложения уже имели реальные проблемы с безопасностью. GNU-плееры такое говно, что у меня youtube с ними не работает (с gnash работает, но несколькосекундные рассинхронизации звука и видео)), просмоторщики картинок, pdf-ридеры и прочие плееры/офисы/кодеки могут содержать уязвимости переполнения буфера, поэтому подхватив «нужный» документ или видео, можно легко исполнить троян.
Правда, у юзеров генты (обычной, не hardened) тут есть приемущество: поскольку атака производится не удаленно, когда атакующий может «подбирать» адрес возврата, то атакующий 100% должен знать, что где в памяти находится. что весьма сложно (насколько я понимаю), в случае генты, т.к. приложения каждый пользователь собирает со своими флагами, флагами компилятора (обеспечивающие оптимизацию в основном), а также
разными либами (поскольку это не бинарный дистриб, приложения собераются с любой версией библиотеки выше определенной).

Но тут есть другой момент: уязвимости неэкранирования (хз, как они правильно называются) (особенно популярно с интерпретируемых языках). Примером могут быть python, sql, php -инъекции. От них нельзя спастись (ну за исключением проксей безопасности в случае серверов, но тут то локалхост).

Мало того: не используй в своей доверенной сетке недоверенные устройства. Особенно у создателей роутеров (если никак не можешь на говнокомп с атомом разориться, то хоть openwrt поставь) вечные проколы в плане безопасности. Не используй WiFi. Не используй винду. В смысле в доверенной части сети. В большинстве роутеров можно изолировать WiFi от LAN и WiFi клиентов друг от друга, что правильно, но не настроенно. Однако, использовать роутер вообще не правильно: должен быть свитч с VLAN'ами и отдельная WiFi точка, которая ни к чему, кроме сервера-маршрутизатора (на котором не должен висеть ssh на 22 порте и быть открыми все порты, плюс не должно быть никаких полигов - для этого есть виртуалки) не может. Все недоверенные устройства от доверенной сети (да и друг от друга) этими VLAN'ами и отрезай.

!!!!! Локалхост никогда (НИКОГДА!!!!!!!!!!!!!!!!!!!!) не должен быть подключен напрямую к провайдеру. Даже если он предоставляет серые IP, даже если это WiMAX. Если месье нищеброд, то хотя б через virtualbox маршрутизацию сделай. Но последнее не очень хорошо, т.к. могут быть уязвимости в какой-нибудь из частей сетевого стека ядра (включая огромный netfilter).

Ещё очень веселая уязвимость: через FF можно иметь доступ к 192.168.0.* и прочему. Чем невообразно пользуются flash и JS скрипты злоумышленников, позволяющие:
1) Без пароля. Через uPNP.
Узнать MAC роутера (иногда и клиентов).
Пробросить порты (любые).
2) С паролем (для admin/admin и прочего). Вообще всё, что только может роутер через WEB-интерфейс, включая создание туннеля на свой сервер с последующей порслушкой трафика.

ему по статусу положено винду советовать

Все правильно, такие штуки есть в Hardened Gentoo, в RHEL их можно поставить, но в генте это искаропки готово. Что не так? Просто там ошибка мейнтейнеров, которые мягко говоря не фуллтайм, может все испортить.

в генте несколько хуже с готовыми политиками SELinux. Но для большинства часто используемых приложений они там нормальные или легко гуглятся. В остальном в генте всё даже лучше, и части этих «штук» в RHEL нет и будет. Самостоятельно поставить можно, но, вероятно (не для всего) Вам придется пересобрать всю систему, что далеко не айс.
Мне кажется, что Вам лучше всё же написать в чём именно заключается угроза, кто атакующий и т.д. Если Вы, извините, быдлостудент или прочее отребье и боитесь для своей пароль вконтакте - могу Вам сказать, что напороться в рунете с последним стабильным FF и флешом на бяку для линукса - это что-то нереальное.
Реальна только атака из ботнета по сервисам с ошибками или стандартные пароли на ssh.
Поэтому:
1. не надо сидеть глядя голой жопой в интернет
2.1. используйте только FF, никаких хромов (которые каждую страницу и ссылку на неё сливают в гугл) и проприетарных опер.
2.2 поставьте noscript и/или flashblock (ОБЯЗАТЕЛЬНО), отключите все плагины (не аддоны) в FF, кроме флеша, установите (ОБЯЗАТЕЛЬНО) adblock plus (в расширенных (в расширенных!!, там их несколько десятков) списках рассылки выберете все подписки с Вашими языками), ghostery.
3. не подключайте внешние репозитории абы от кого. лучше уж скомпилируйте.
4. используйте обычный комп с качестве роутера. или openwrt на обычном роутере.
5. WiFi должен больше с паролем из 12 символов минимум, обязательно WPA2.
6. WiFi клиенты (лучше даже сама точка) и другие недоверенные компы (с макосью, виндой) должны быть в отдельной сети. В случае роутере есть VLAN, в случае компа и отсутсвия VLAN-свитча, можно использовать обычный свитч и несколько (для каждого) сетевых на сервере. Для WiFi-точки тогда должна быть отдельная сетевуха. Этот варинат не безопасен, т.к. компы каждой зоны не изолированы друг от друга в пределах зоны. Особенно плохо это для компов с виндой. Изоляция весьма важна, т.к. любой комп в пределах широковещателного домена (свитча без (настроенного) VLAN) может произвести атаку MITM через DNS, DHCP или Arp подмену. Причём сделать это весьма просто.
7. В настройках compiz или другого хоткей менеджера поставьте на наиболее удобные хоткеи скринсейвер с паролем. Всегда, когда отходите от компа блокируйте его (без исключений).
8. Никогда не пускайте друзей/близких за комп. Это табу. В самом крайнем случае создайте непривилегированного юзера и убедитесь, что он не может пользоваться su/sudo и Вас нет файлов SUID.
9. Используйте шифрование. В ubuntu и centos при установке очень просто создать LUKS-прослойку (тупо покликать мышкой), однако это не позволит при потере ноута или при любопытных друзьях, когда Вы отошли в магаз, воспользоваться live-флешкой для быстрого сливания документов и профиля FF.
9.1 Желательно также использовать ecryptfs (в ubuntu Вас спросят, не хотите ли зашифровать домашний каталог). Особенно, если Вы будете давать своей Машке посидеть в быдлоконтактике. Дабы Машка легко не просмотрела Ваш домашний каталог, в котором часть файлов могут быть доступны для чтения. Конечно же, надо выйти из своего пользоватлея, а не просто «переключиться», дабы ecryptfs размонтировалась.
10. также не забывайте, что Вы после себя оставляете в сети.

Следуя этим правилам, если Вы - прыщавый студент (и не хотите, чтобы кто-то узнал, что Вы любите хентай с гуро и тентаклями), очень маловероятно, что кто-то сможет добраться до Ваших данных.

Вы про iZEN? Не забывайте цитировать, если пост, на который Вы отвечаете, весьма большой :)

Вау!
Я думал на этом форуме только я пишу стену текста.

К сказанному добавлю свои 50c, т.к не вижу смысла писать ещё один большой список.


Не устанавливай себе правил которые впоследствии не сможешь выполнять.
Т.е защищаться надо ровно до того момента, пока защита не мешает тебе комфортно работать с системой.

Иначе обязательно возникнет ситуация, когда selinux/фаервол/шифрование/etc будут тебе мешать что нибудь сделать, и ты из за того что переборщил с настройкой ранее тупо что нибудь отключишь/выкинешь.
И именно в этот момент случится что нибудь не хорошее :)

Дабы -> чтобы.

Кажется, вы путаете безопасность с паранойей.

никаких хромов

хромиум, iron?

В качестве локалхоста я подразумеваю шлюз, за которым куча ноутов на вайфае. Цель задротства - не страх быть поломаным, а исключительно образование

хромиум, iron?

нет, в хромиуме, да и айроне всё-равно проскакивали некоторые шпионы, которые мейнтейнеры, якобы, забыли выпилили. а переводчик вообще никогда не отключался (думаю, что понятно, куда уходит страница даже до перевода).
к тому же перделки безопасности, портированные с FF полноценно не работают. да и уязвимостей там что-то часто добавляется :)

не хватает только на улицу выходить только в противогазе и в интернет только через тор. А лучше не выходить.

И что помешает разработчикам бинарных дистрибутивов напихать троянов в бинарные пакеты?

Они просто не будут этого делать, не?

хм... я обычно сижу дому и юзаю генту :)

в случае RHEL да. в случае остальных - всё весьма кустарно может быть организованно, из-за чего может пробраться троянец на одну из машин мейнтейнеров...

самое главное, чтобы была политика, которая запрещает отключать SELinux :) для остального есть виртуалки.

!!!!! Локалхост никогда (НИКОГДА!!!!!!!!!!!!!!!!!!!!) не должен быть подключен напрямую к провайдеру.

это почему?

кто круче, Спайдермэн или Бэтмэн? :)

Мне кажется, что Hardened Gentoo. Но по большей части безопасность зависит от степени параноидальности админа

Уж точно не гента

Почему точно?

Думаю что, Hardened Gentoo, так как не энтерпайз и security through obscurity.

круто (:

Поставь Gentoo Hardened и осиль тамошний хендбук. Если покажется мало и захочется ынтерпрайза, осиль на генте в дополнение что-то вроде этого: http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf

Потому что даже репозиторий не подписан. Дальше и говорить нет смысла

что за хрень ты пишешь?

Про поддельное зеркало, например.

md5 от файлов скачанных с которого совпадёт с md5 в метадате?

RHELL помимо безопасности ещё и на стабильность ориентирован, это погоня за 2-мя зайцами. Стабильная обкатанная система со стабилизировавшимся API готова к изучению и взлому.
Гента никому не нужна => ломать тебя не будут. А если ещё соберёшь рандомные версии пакетов с минимальным набором USE-флагов да в Hardened-профиле, то лично твой хост с десятком файлов в проприетарном док или х264 кроме тебя будет мало кому интересен.
Вывод очевиден: Ставь Gentoo - она не нужна! :)

md5 от файлов скачанных с которого совпадёт с md5 в метадате?

Начнем с того, что изначально portage мог скачать хз откуда, зеркала синхронизации тоже хз какие.

!!!!! Локалхост никогда (НИКОГДА!!!!!!!!!!!!!!!!!!!!) не должен быть подключен напрямую к провайдеру. Даже если он предоставляет серые IP, даже если это WiMAX.

Успокойтесь гражданин! Санитары скоро прибудут. Пока можете поковырять, скажем, http://balancer.endofinternet.net/

Скажите, что Вам не нравится на этом локалхосте так, что Вы впадаете в истерику?

если душит параноя можно и с CVS синхронизоваться, можно использовать web-rsync, который позволяет верифицировать хост [1]. Да и возможность подписывать manifest есть [2]. Да и в glep есть проекты, правда чем кончилось непонятно, толи сделали всё, аж в 2008 толи не добили [3,4].

--

[1] http://sources.gentoo.org/cgi-bin/viewvc.cgi/portage/main/trunk/bin/emerge-we...

[2] http://www.gentoo.org/proj/en/devrel/handbook/handbook.xml?part=2&chap=6

[3] http://sources.gentoo.org/cgi-bin/viewvc.cgi/gentoo/users/robbat2/tree-signin...

[4] http://www.gentoo.org/proj/en/glep/glep-0057.html#endnote-history-of-tree-sig...

если душит параноя можно

... по ссылкам не ходить, а взять автроитетне RH/Oracle/MS, пущай сами разбираются и отвечают. В других случаях паранойа безполезна.

Ну или держать свой штат дармоедов с генту, за поделки которых даже страховки не выплатят.

ну вообще-то насколько я знаю, в portage tree хранятся в manifest-файлах хэши всех скачиваемых файлов, а сами эти файлики подписаны PGP

Развей мысль.

http://balancer.endofinternet.net/

Что ж там так убого все? Где реклама? Где градиенты? Где мокрый пол? Как читать сайт без анимированных сисек??? %)

Что именно не понятно? Если при синке MITM - у меня сразу полон дистр троянов. Если я использую зеркало - у меня полон дистр троянов. Если я использую оверлей - у меня полон дистр троянов.

>=sys-apps/portage-2.0.51_pre10

Оно действительно начало зарождаться, манифесты действительно уже подписаны. Недавно случилось. Но пока нет уведомлений о смене мантейнера пакета итд - это ерунда

Скажите, что Вам не нравится на этом локалхосте так, что Вы впадаете в истерику?

http://balancer.endofinternet.net/phpmyadmin/

Например открытый муадмин не?
Некоторые (а на моей практике многие) кодеры хранят у себя на локалхосте все свои проекты в виде уютненького SVN/GIT репозитория.
И подчас это самый простой способ быстро уворовать нужный сервис (не продакшен же ломать).

Ну или держать свой штат дармоедов с генту, за поделки которых даже страховки не выплатят.

лолшто? во всех лицензионных соглашениях куча пунктов, которые всю ответственность с производителя снимают