SeLinux в сравнении с безопасностью OpenBSD

Что за очередной бздёжь? Не осилили что-ли?

>OpenBSD имеет более универсальну систему защиты в виде p ropolice stack protection, random library mappings, proactive privilege separation, W ^X и systrace.

Да ну? Опять бздя пиарится.

Тем не менее в OpenBSD есть root и существует вероятность заполучить права :) Увы, но ы OBSD система безопасности то же привита.

SELinux - такой же костыль безопасности, как и .Net в Венде. Не смогли сделать безопасную ось - вот и закутывают ее во всякие тряпочки

> Не смогли сделать безопасную ось

Оставляя в стороне то, что SELinux - это часть ОС... а хоть кому-то удалось сделать безопасную ось и что это такое?

Не согласен с твоим мнением. В obsd выше перечисленные вещи существуют by default, в linux их надо внедрять при помощи патчей либо активировать опции в kernel config.

> Не согласен с твоим мнением. В obsd выше перечисленные вещи существуют by default, в linux их надо внедрять при помощи патчей либо активировать опции в kernel config.

OpenBSD - дистрибутив, Linux - всего лишь ядро. Как можно сравнивать целый дистрибутив с ядром системы?

та часть которую надо активировать.

btw, бинарники в obsd default install имеют stack-protection by default (ProPolice).

[cryptus]$ strings /usr/bin/ident |grep stack __stack_smash_handler

> SELinux - такой же костыль безопасности, как и .Net в Венде. Не смогли сделать безопасную ось - вот и закутывают ее во всякие тряпочки

Ну венда вобще лидер по всяким там костылям и "закутываниям в тряпочки"

Да, увы, я тоже часто (в половине случаев точно) отрубаю SeLinux, ибо до сих пор не хватает сил разобраться с этим монстром.

> та часть которую надо активировать.

ну так активируй ее.

Ты не ответил, что такое "безопасная ось" и удалось ли ее кому-нибудь разработать.

на сколько мне известно propolice stack protection, random library mappings, W ^X и systrace implemented on kernel-lvl too.

А например в ядре федоры SELinux тоже включен по дефолту

это perfection. как дорога к коммунизму. дорога по которой идут, но цель достичь очень тяжело, если не бозможно.

I wonder who is the troll. The only argument you have is "they are a cult and defend their OS".

But what they actually dont get is, there is MORE THAN ONE WAY TO LOOK AT SOMETHING. And that includes security.

imo самые ТЕ комменты

да, но одним мгновением можно отклучить. в obsd это сделать тяжелее - ковырять предется много каких файлов.

Это преимущество???

в "правильном" переводе: "просмотрел я по диагонали на ваш селинух, много незнакомых буковок, потому делаю авторитетное заявление: фигня ваш селинух..."

это только под оффтопиком выпускник среднеобразовательной школы может настроить безопасность системы на высшем уровне для самого крупного банка швейцарии =))

в швейцарии OpenVMS стоит.

смотря кому.

Security is a process, not a set of patches. в obsd этот процесс выражается в полировке кода.

Чего-то мне не нравится, что товарищи из OBSD начали оправдываться, дескать наше лучше вашего. ИМХО, это свидетельствует как раз об обратном - что selinux лучше по всем параметрам, кроме, быть может, сложности описания политик.

А в Linux по-другому разве?

> Оставляя в стороне то, что SELinux - это часть ОС... а хоть кому-то удалось сделать безопасную ось и что это такое?

Это ось размером 0 байт. Самая быстрая в мире и самая неломаемая. Правда даже ее разработчик не знает что она делает в текущий момент. %)

Linux devs do NOT understand Security as a process.

>> Оставляя в стороне то, что SELinux - это часть ОС... а хоть кому-то удалось сделать безопасную ось и что это такое?

>Это ось размером 0 байт. Самая быстрая в мире и самая неломаемая.

А... еще машину под ее управлением никогда не включают и не подсоединяют к сети? :D

нет, именно оттуда и a lot of kernel root exploits known from the past.

> Linux devs do NOT understand Security as a process.

Обоснуйте

> Linux devs do NOT understand Security as a process.

Что значит "процесс"? Бить всех программеров линейкой по пальцам, чтобы он следил за указателями? Перевести всех на Яву? Программить исключительно на Паскале, обязательно с рантаймовой проверкой на выход за границу массива? Процесс - это действия. Какие действия могут предпринять "Linux devs"? Это и в самом деле идеализм.

А вот подход "давать ровно столько прав, чтобы выполнить работу" - проверен на практике и довольно устойчив к случайным или умышленным попыткам нарушить его работу. Причём это касается не только программирования, но и способов и средств охраны ценного имущества, банков, военных секретов и т.п., иными словами имеется хорошо разработанная и опробованная модель.

уже обосновано коментариями above.

Security is NOT a set of patches! Linux devs do not polish their code, as obsd devs do.

You should strive to perfection of your code. Evaluate and re-evaluate your code.

>уже обосновано коментариями above. Security is NOT a set of patches! Linux devs do not polish their code, as obsd devs do.

Это не обоснование, а всего лишь риторика

> You should strive to perfection of your code. Evaluate and re-evaluate your code.

На это никто и никогда не пойдет. Чем пытаться избежать ошибок, лучше делать систему, которая устойчива к ошибкам.

доказано тем что Linux devs puts a patch-set вместо того что-бы вклучить эти вещи в vanilla kernel.

not an engineer approach. developer IS an engineer.

> доказано тем что Linux devs puts a patch-set вместо того что-бы вклучить эти вещи в vanilla kernel.

Ещё раз повторяю, давайте не будем сравнивать ядро с готовой операционной системой.

>Security is a process, not a set of patches. в obsd этот процесс выражается в полировке кода.

В опенбзд процесс выражается в наглом пиаре, а также в полной закрытости информации об ошибках*. Пусть и дальше себе в лужу бздят, там, где реальная безопасность нужна, это поделие использоваться никогда не будет.

*Ещё они песенки поют, да рисунки рисуют, как в ясли-саде.

и я опять же повторяю:

propolice stack protection, random library mappings, W ^X и systrace implemented on kernel-lvl.

инвормация эта вся public - src-changes commits. так что не гундось, а пойди лучьше в универ учиться - там тебе покажут что и как.

>Damien Miller: "при развёртывании всех известных мне средних и крупных инсталляций Линукса, SeLinux был отключен. Как только вы делаете шаг в сторону от конфигурации по умолчанию, то предлагаемые политики, с которыми поставляется ваш дистрибутив, больше не работают, и затем всё просто ломается". Другой участник дискуссии просуммировал высказанное следующим образом: "проблема безопасности, которая опирается на какую-либо [предопределенную] политику, в том, что последняя всегда неверна".

--Слыш, пацаны! А у лялюпса то SELinux есть! --И чо? Для чайнегов оно слишком сложно. Так шта нам оно не конкурет.

> и я опять же повторяю:

>propolice stack protection, random library mappings, W ^X и systrace implemented on kernel-lvl.

Ну так и я могу повторить, что в ядре федоры (и некоторых других дистрибутивов), SELinux встроен в ядро и включен по умолчанию.

не встроено - ВСЕ это отключается в kernel config.

встроено это когда приварили, и что-бы отклучить то надо вырезать.

> OpenBSD - дистрибутив, Linux - всего лишь ядро.

OpenBSD - это не столько дистрибутив, сколько отдельная операционная система, со своим ядром.

>не встроено - ВСЕ это отключается в kernel config.

>встроено это когда приварили, и что-бы отклучить то надо вырезать.

У Linux есть фишка такая, настраивать параметры ядра без перекомпиляции и перезагрузки ОС.

слесарь-сантехник uses linux?! - пачетна. маладес.

ты так и не понял о чем речь?! ПРИВАРЕНО В obsd это все.

>ты так и не понял о чем речь?! ПРИВАРЕНО В obsd это все.

Т.е. лишний геморрой для тех, кому оно не нужно. Чем оно лучше селинукса так и не ясно.

SELinux зло в любом случае, его же NSA делала, которая имеет право получать секретные неустаревающие патенты. Если его интегрировать намертво, то чеерз годик выяснится что патенты NSA 0wNes Linux... по крайней мере в штатах :)

тем что приварено то что надо и что дейстивельно разработано на нужном уровне. работает без всяких policies.

(я не беру во внимание systrace)

>инвормация эта вся public - src-changes commits. так что не гундось,

А чего не в багтраке? Самому прикажешь выяснять что они там на исправляли?

>так что не гундось, а пойди лучьше в универ учиться - там тебе покажут что и как.

Где такое показывают? Если только на уроках менеджмента.

P.S. В топку эту полузакрытую опенбзд.

И вообще-то BSD - R.I.P.

> not an engineer approach. developer IS an engineer.

Мля, как ты достал со своим инглишем

It DOES engineer aproach! Nobody guarantees seamless execution of any program since this world is unpredictable - no peferct CPUs, memory sticks, and... people. It is indeed smart solution to create a persistent program instead of a bugfree one.

учатся на ошибках, но ты явно отказываешся видеть ошибки прикрываясь системой (опять же с потенциальными ошибками), следовательно ты не учешся, а это глупо.