Разработчики SELinux ответили на статью Sun о безопасности Solaris и RHEL

гет зе фактс :))

Все таки очень интересно послушать, какие факты были искажены Sun?

ЗЫ. Ответ, Глена Фадена (автора оригинальной статьи) в самом низу страницы.

> Все таки очень интересно послушать, какие факты были искажены Sun?

А ты сходи по ссылке, там хорошо с примерами написано что г-н Фаден просто напросто врёт либо не знает что говорит

А что конкретно написано? Изложите факты с комментариями на русском языке, а иначе зачем нужны такие невнятные новости из одной перевранной строчки?

>А что конкретно написано? Изложите факты с комментариями на русском языке

шо уссаныч, уср%лся?! :)

анонимус, не груби!

Кстати, упомянутый в статье факт, что RHEL это дистрибутив общего назначения в отличии от Trusted веток, весьма интересен и примечателен.

ИМХО.

> Изложите факты с комментариями на русском языке,

учи албанский, пригодится. А то в твой огород полетел камешек - так тебе его надо и переживать, и проглотить за тебя?

а вообще - дело Sun'а было - написать пиар - опровержение будет совсем по другому адресу, и меньший процент леммингов о нём знает и будетчитать.

Статья никакая, нихрена аффтар в аргументах не привел кроме как "тута типа мискондишн небольшой получился" и в качестве аргументов откровенная херня.

Больше всего улыбнуло "this overhead has to be quite high, particularly if you have several hundred or thousands of zones "...

А оверхед таки selinux дает некислый по любым тестам

> опровержение будет совсем по другому адресу,

Оно не только по другому адресу но еще и мимо кассы...

> А оверхед таки selinux дает некислый по любым тестам

Я видел цифры 3-5%. Это и есть "некислый"?

> Я видел цифры 3-5%. Это и есть "некислый"?

Поболеее на простых операциях распаковки/запаковки... 15/20 % как минимум... на grsecurity.net раскладки были. Пробовали на HLFS (это все удовольствия в виде smashing stack protector + RBAC + selinux) подымать базюку... весьма печальное зрелище...

> Пробовали на HLFS (это все удовольствия в виде smashing stack protector + RBAC + selinux)

Stack protector - это из другой оперы, он и в самом деле ощутимо замедляет работу.

RBAC + selinux? o_O

Безопасность программа дело самих программ

Какие то хлипкие и противоречивые аргументы в этом "опровержении". Не впечатлило.

>А что конкретно написано? Изложите факты с комментариями на русском языке, а иначе зачем нужны такие невнятные новости из одной перевранной строчки?

А ты нам ссылку на русском языке дал? Смог прочитать ту статью, прочитаешь и эту.

>А оверхед таки selinux дает некислый по любым тестам

Вроде не более 10 процентов.

> RBAC + selinux? o_O

Ух епть! Каюсь попутал небыло там селинукса SSP + PAX + Grsecurity

> Вроде не более 10 процентов.

Попутал я попутал... но 10 процентов тоже как бы не мало...

>> Вроде не более 10 процентов.

> Попутал я попутал... но 10 процентов тоже как бы не мало...

Да где вы эти цифры нашли? Какая там security policy была?

> Да где вы эти цифры нашли? Какая там security policy была?

А причем тут полиси при time tar tjvf blah-blah-blah ??? В качестве "сравнилища" брали чистенький LFS.

>> Да где вы эти цифры нашли? Какая там security policy была?

> А причем тут полиси при time tar tjvf blah-blah-blah ???

Ну, как _я_ понимаю, если policy сложная, на ее интерпретацию тратися больше времени. Или я чушь сморозил?

> Или я чушь сморозил?

Нет полиси взяли дефолтовую c HLFS-book тут же и проверили. Наворотов вроде туда хады суда не хады не ваяли.

Хотя не исключаю что тут больше виноват SSP так как полиси может ощутимо влиять лишь в моменты когда тар цепляет новый файл, а файлов там было 5-6 видеоклипов.

> Хотя не исключаю что тут больше виноват SSP так как полиси может ощутимо влиять лишь в моменты когда тар цепляет новый файл

Вот и мне так кажется :)

> Вот и мне так кажется :)

Ну дык-ть... наших бьютЪ ;)

> Ну дык-ть... наших бьютЪ ;)

Главное в жизни - это правильно выбрать "наших"! :D

> Каюсь попутал небыло там селинукса SSP + PAX + Grsecurity

А что именно в PAX и grsecurity крутили? Или понаставили все галки, которые смогли?

> Все таки очень интересно послушать, какие факты были искажены Sun?

тебе, может, еще и сказку перед сном почитать? сходи и прочти сам, если действительно интересно.

а вот мне интересно, чего это ссаные свой trusted solaris на solaris 8, а не 10 или, на худой конец, 9 сделали? только сейчас довели кривенную ось 7-летней давности до "трастед" состояния, т.е. как только пофиксили POD и совсем уж дикие дыры в telnet?

и тут же пошли обливать грязю конкурентов, котырых, видимо, по другому ссаным не одолеть ну ни как.

> а вот мне интересно, чего это ссаные свой trusted solaris на solaris 8, а не 10 или, на худой конец, 9 сделали?

Ни говори! И Линус жопа ядро ветки 2.2 ваще не развивает...

> и совсем уж дикие дыры в telnet?

А сколько лет существует ssh ? А напомнить как можно задосить tftp-сервер ? Или времена когда по сети широкими шагами гулял cinik-worm ?

> и тут же пошли обливать грязю конкурентов

Слово "конкурент" улыбнуло...

> Хотя не исключаю что тут больше виноват SSP так как полиси может ощутимо влиять лишь в моменты когда тар цепляет новый файл, а файлов там было 5-6 видеоклипов.

SSP даёт 5-6%, не больше и в самом гиблом случае. Хотя хз, может в gcc4 там чего хитрого наваяли. Остальное от селинукса и прочих факторов привалило.

Ну то есть PAX'а и grsec'а, епть =)

> Ни говори! И Линус жопа ядро ветки 2.2 ваще не развивает...

так 2.2 никто и не пытается впаривать как "последний писк", в отличии от сами знаете кого.

> А сколько лет существует ssh ? А напомнить как можно задосить tftp-сервер

наличие ssh не может служить оправданием дырам в telnet. я прекрасно понимаю, что telnet и tftp небезопасны _на_уровне_протокола_ и это не зависит от реализации.

> Слово "конкурент" улыбнуло...

а как ты думаешь, стали бы ссаные так обильно поливать, к примеру, gentoo или slackware? они выбрали вполне конкретную цель. думаю, причина выбора очевидна всем.

> Ну дык-ть... наших бьютЪ ;)

>Главное в жизни - это правильно выбрать "наших"! :D

tailgunner (*) (30.03.2007 19:16:29)

И не забывать их менять на более правильных время от времени :)

> в отличии от сами знаете кого.

Так 9-ку уже дааааавно никто не впаривает. Её саппортят по-ходу предлагая заменить на 10-ку...

> наличие ssh не может служить оправданием дырам в telnet.

Это я к тому что дыр хватает везде и если поднять архивчики той же самой секунии говна всплывет мноооооого...

> а как ты думаешь, стали бы ссаные так обильно поливать, к примеру, gentoo или slackware?

С бОльшим удовольствием, бо красные шапки их партнеры (как бы между прочим...)

> И не забывать их менять на более правильных время от времени :)

А кокой нынче курс у серебренников к баксу ? %)

>А то в твой огород полетел камешек - так тебе его надо и переживать, и проглотить за тебя?

Да мне вообще похер. Хотелось оживления дискуссии со стороны специалистов. А то Злой Крыс спортил воздух и тут же испарился.

Между прочим, Глен, больше 12 лет системный архитектор всех этих секурных заморочек, так что обвинять его в "искажении" - просто глупость.

Между прочим 2, трастед соляра 100 лет уже стоит в DOD, ЦРУ и в госдепе, а RHEL сертифицирован как софт для фермерских касс.

>А кокой нынче курс у серебренников к баксу ? %)

Серебренник - это вообще-то небольшой слиток серебра, который использовался вместо денег. Осталось узнать, какого веса они были, ну а рыночную стоимость серебра узнать несложно.

>Между прочим, Глен, больше 12 лет системный архитектор всех этих секурных заморочек, так что обвинять его в "искажении" - просто глупость.

Не вижу связи. Системные архитекторы со стажем физически неспособны врать?

>Между прочим 2, трастед соляра 100 лет уже стоит в DOD, ЦРУ и в госдепе

Потому, что 100 лет назад не было RHEL

>а вот мне интересно, чего это ссаные свой trusted solaris на solaris 8, а не 10 или, на худой конец, 9 сделали? только сейчас довели кривенную ось 7-летней давности до "трастед" состояния, т.е. как только пофиксили POD и совсем уж дикие дыры в telnet?

В 8 дыры в телнете не было. Похоже студент-линупсоид диплом делал, а поскольку телнет всем был по барабану, вот и не доглядели.

Была отдельная ветка "трастед солярис", по ее образу и подобию была ветка "трастет BSD".

The Trusted Solaris OS builds on more than 20 years of information protection provided by the Solaris Operating System.

Cyber crime bleeds U.S. corporations," Computer Security Institute, April 7, 2002.

> Осталось узнать, какого веса они были, ну а рыночную стоимость серебра узнать несложно.

Боюсь запасов серебра у человечества осталось гораздо меньше чем у меня амбиций... ттак штаааа... ждемс первых рудников на луне ...

>Не вижу связи. Системные архитекторы со стажем физически неспособны врать?

Это не манагер, а специалист. Эту статью прочитают сотни тысяч экспертов по безопасности, да с тобой просто здороваться перестанут.

>В 8 дыры в телнете не было.

Ой ли? А вот: http://sunsolve.sun.com/search/document.do?assetkey=1-26-40035-1

>Эту статью прочитают сотни тысяч экспертов по безопасности, да с тобой просто здороваться перестанут.

"Юмор-то плоский, зато кошелек - выпуклый" (С)

С прихвостнями мелкософта, которые Геть зе факс сваяли, тоже никто не здоровается?

И в догонку - http://secunia.com/advisories/14754/

selinux ффтопку. rsbac наше фсиоЪ.

> В 8 дыры в телнете не было. Похоже студент-линупсоид диплом делал, а поскольку телнет всем был по барабану, вот и не доглядели.

trusted solaris делают студенты-линупсоиды? тогда все вопросы снимаются. прошу прощения - я наезжал без каких-либо на то оснований.

> И в догонку - http://secunia.com/advisories/14754/

Уффф... носитесь тут с этим телнетом как курицы с яйцами....

В догонку и перегонку

http://www.securityfocus.com/bid/16532
http://www.securityfocus.com/bid/20363
http://www.securityfocus.com/bid/21581
http://www.securityfocus.com/bid/19475
http://www.securityfocus.com/bid/21490
http://www.securityfocus.com/bid/12810
http://www.securityfocus.com/bid/21835
http://www.securityfocus.com/bid/21604
http://www.securityfocus.com/bid/17831
http://www.securityfocus.com/bid/17955
http://www.securityfocus.com/bid/16044

А дальше мну устал копипастить...

The described issue only occurs if Kerberos is used as login authentication mechanism.

Все "керберизированные" имели эту проблему.