LINUX.ORG.RU

Разработчики SELinux ответили на статью Sun о безопасности Solaris и RHEL


0

0

В блоге публикуется детальный разбор фактов, которые искажены Sun в анализе безопасности SELinux и Trusted Extensions

>>> Ответ разработчиков SELinux



Проверено: Pi ()

Ответ на: комментарий от iBliss
Ответ на: комментарий от blaster999

This is not a security vulnerability on its own. However, telnet(1) communicates with another host using the TELNET protocol and thus there is a small risk of a remote user successfully exploiting the overflow.

The remote user may also be able to read the values of arbitrary shell environment variables of the user who executed telnet.

Перевести, или сама осилишь?

Sun-ch
()
Ответ на: комментарий от iBliss

>А ты не отвлекайся... отмазывайся по своей теме...

А почему это я должен отмазываться? Нашел, понимаешь, кучу старых репортов о дырах безопасности, которые 100 лет назад заделали, и тычет ими.

blaster999 ★★
()
Ответ на: комментарий от blaster999

> которые 100 лет назад заделали

Странно, а только что говорил что 100 лет назад не было рхела....

> и тычет ими.

Я то хоть ремотными тыкал...

ЗЫ: Убедился в маразматичности своих аргументов или как ?

iBliss
()
Ответ на: комментарий от iBliss

>Странно, а только что говорил что 100 лет назад не было рхела....

Linux kernel != RHEL

>Убедился в маразматичности своих аргументов или как ?

У себя спрашиваешь?

blaster999 ★★
()
Ответ на: комментарий от blaster999

> Linux kernel != RHEL

Не забудь это написать в секуритифокус, а то они наивные столько дистров снизу приписали....

> У себя спрашиваешь?

Не я про телнет вспомнил, и судя по всему это тут прям таки главный аргумент...

iBliss
()
Ответ на: комментарий от iBliss

> Так 9-ку уже дааааавно никто не впаривает

а как же trusted solaris, который основан на 8? или в пылу страсти ты забыл, с чего ты на 2.2 начал наезжать?

anonymous
()
Ответ на: комментарий от anonymous

Статью не читал, но осуждаю!

anonymous
()
Ответ на: комментарий от anonymous

> а как же trusted solaris, который основан на 8?

Да я те по секрету скажу а солярис 8 основан на солярис 7 а он в свою очердь на 6 но и все было бы не так страшно если бы 6 не был основан на 5 ... Ага....

Мы об ОС или о том что Trusted Solaris _Extension_ ?

iBliss
()
Ответ на: комментарий от sdio

>iBliss, какой у тебя стаж работы с сановским железом и Солярой?

1988 - сетевой червь Моррисона поразил десятую часть всех мировых хост-систем на Solaris. В ответ сформирована Команда компьютерной безопасности CERT (ftp://info.cert.org/pub).

В команду CERT набрали старых пьяниц, которые тут же заявили "Интернет прибежище университетов и военных - гражданским вход закрыт."

Sun-ch
()
Ответ на: комментарий от Sun-ch

>Все таки очень интересно послушать, какие факты были искажены Sun?

т.е. I/O оверхеда на файловых операциях, если у вас пару сотен или тысячи зон, не будет? ;)

не надо валять дурака - все мы знаем, что статья Гленна "черный пиар", а Карл просто отмазывается ;)))

AcidumIrae ★★★★★
()
Ответ на: комментарий от iBliss

>Последние два года, а что ?

Да так, год назад ты не знал что можно нажать Stop+A, а сегодня учишь тут всех какой солярис крутой и безопасный, а линукс дырявый и писан прыщавыми подростками.

Несерьезно.

sdio ★★★★★
()
Ответ на: комментарий от AcidumIrae

> пару сотен или тысячи зон, не будет? ;)

Запятая лишняя.

> не надо валять дурака

А как иначе почуствовать себя "длиннее" ? %)

iBliss
()
Ответ на: комментарий от iBliss

>Запятая лишняя.

не лишняя (на это Гленну ответить нечего ;)

>А как иначе почуствовать себя "длиннее" ? %)

есть такая нездоровая необходимость?

может зоны и лучше(спору нет ;), но Гленн явно сгустил краски в случае с селинукс и приукрасил солярис ;)))

AcidumIrae ★★★★★
()
Ответ на: комментарий от sdio

А как насчет Stop-A без клавы от санок или через telnet? А давай вспомним код загрузчика с ленты в восьмеричных кодах? Но в одном парень совершенно прав, соляра уже более привлекательна даже для новичков чем линакс на x86.

Sun-ch
()
Ответ на: комментарий от AcidumIrae

> не лишняя

ИМХО если у кого-то будет около 1000 зон на одной железке, его уже не спасет никто кроме лоботомиста...

> но Гленн явно сгустил краски в случае с селинукс и приукрасил солярис ;)))

Ну... есть такая работа... родину защищать... ;)

iBliss
()
Ответ на: комментарий от Sun-ch

Отвали. Санки без клавы оснащаются rsc (как раз через telnet)

>Но в одном парень совершенно прав, соляра уже более привлекательна даже для новичков чем линакс на x86.

Ага-ага. Если бы ТЫ сказал наоборот - удивил бы, а так ... пеар.

sdio ★★★★★
()
Ответ на: комментарий от sdio

> Несерьезно.

Ну уж звиняйте... после break в аломе допереть до stop-a как то не мог...

iBliss
()
Ответ на: комментарий от sdio

> console

console -f

А то есть риск стать пассивным наблюдателем "ок" ;)

iBliss
()
Ответ на: комментарий от sdio

>Ага-ага. Если бы ТЫ сказал наоборот - удивил бы, а так ... пеар.

А в чем пеар? Samba+cups+Apache+Postgres+Sendmail+Bind+ipfilter уже входит в систему. Плюс GUI консоль smc - профессиональный инструмент, по сравнению со всякими костылями типа джаст в линаксе.

Sun-ch
()
Ответ на: комментарий от sdio

1a: Sending Stop-A with non-Sun keyboards or over a telnet connection

With a terminal server, the terminal is hardcoded to a “cli” interface which, in turn, telnets to the console port on the destination host. The point is to get the *telnet* to generate a break, which can be done by:

Press ctrl-] (or whatever is the telnet escape sequence)
At the telnet prompt, enter “send break”

Note that the terminal server port hosting the console must be configured NOT to pay attention to breaks and instead pass it on to the server.

1b: Sending Stop-A with non-Sun direct connect keyboards (such as those connected to a KVM)
Rumor has it that “break” or “ctrl-break” or even “~#” are equivalent to Stop-A.

Sun-ch
()
Ответ на: комментарий от Sun-ch

>А в чем пеар? Samba+cups+Apache+Postgres+Sendmail+Bind+ipfilter уже входит в систему. Плюс GUI консоль smc - профессиональный инструмент, по сравнению со всякими костылями типа джаст в линаксе.

"гуи консоль" чем-то это напоминает всеми известную контору менеджеров ;-)

Metallic
()
Ответ на: комментарий от Sun-ch

Sun-ch кончай тупить, smc тормоз такой, что убить хочется, независимо от железа (E6900, RAM 24G), проще в консоле все сделать, так что мимо кассы.
На x86 (1-4 CPU) солярис бессмысленно ставить.
На SPARC_е ему только и место, типа купили с железом под конкретную задачу.

Так о каком выборе идет речь?

sdio ★★★★★
()
Ответ на: комментарий от sdio

>На x86 (1-4 CPU) солярис бессмысленно ставить.

"Minimum of 256 MB of physical RAM (or 512 MB for PXE booting)" это только для текстовой установки.....

Так что полностью поддерживаю.

Metallic
()
Ответ на: комментарий от sdio

>На x86 (1-4 CPU) солярис бессмысленно ставить.

Почему? Солярис 10, на двухголовом р3/1000 2 гига рамы, ZFS сторадж на sata 750 гиг. Работает CGPro для большой компании, вообще нет вопросов.

Sun-ch
()
Ответ на: комментарий от Metallic

> Так что полностью поддерживаю.

Прежде чем что-то поддерживать, рекомендую глянуть для чего 256 минимум. Ну а если уж сильно неймется - сядь подреж минирут, это нормальный UFS имидж c полноценной системой.

iBliss
()
Ответ на: комментарий от sdio

> На x86 (1-4 CPU) солярис бессмысленно ставить.

Почему ? Compaq sp700 workstation 2 Xeon'а по 550 Mhz . C nvidia работает только винда и солярка. Линух заводится только если отрубить нафик второй проц или поотключать acpi irqroute lapic и обязательно выставить в биосе частоту AGP ? А иначе при старте X-в жесткий клин.

iBliss
()
Ответ на: комментарий от Metallic

> "гуи консоль" чем-то это напоминает всеми известную контору менеджеров ;-)

Гуи консоли появились задолго до известной конторы менеджеров

iBliss
()
Ответ на: комментарий от iBliss

>Прежде чем что-то поддерживать, рекомендую глянуть для чего 256 минимум. Ну а если уж сильно неймется - сядь подреж минирут, это нормальный UFS имидж c полноценной системой.

Да надо бы почитать что-нить хорошое про солярис, есть рекомендации?

Metallic
()
Ответ на: комментарий от iBliss

>Гуи консоли появились задолго до известной конторы менеджеров

Но только они умудрились это прокачать аж до рвотного рефлекса.

Metallic
()
Ответ на: комментарий от iBliss

>Больше всего улыбнуло "this overhead has to be quite high, particularly if you have several hundred or thousands of zones "... >А оверхед таки selinux дает некислый по любым тестам Учи ангийский - тормоз, оверхед это про солярку

anonymous
()
Ответ на: комментарий от Sun-ch

>Между прочим, Глен, больше 12 лет системный архитектор всех этих секурных заморочек, так что обвинять его в "искажении" - просто глупость. Он, кстати и не возражал по поводе того, что он мудаг. три строчки его возражений - просто придирка к неправильной, по его мнению, формулировке.

anonymous
()
Ответ на: комментарий от anonymous

> чи ангийский - тормоз, оверхед это про солярку

Сына иди читай из-за чего они спорят...

iBliss
()
Ответ на: комментарий от iBliss

Sun-ch>> Почему? Солярис 10, на двухголовом р3/1000 2 гига рамы, ZFS сторадж на sata 750 гиг. Работает CGPro для большой компании, вообще нет вопросов.

iBliss> Почему ? Compaq sp700 workstation 2 Xeon'а по 550 Mhz . C nvidia работает только винда и солярка.

Вы братья по разуму, что-ли? Я сказал бессмысленно, а не невозможно.

sdio ★★★★★
()
Ответ на: комментарий от sdio

> Вы братья по разуму, что-ли? Я сказал бессмысленно, а не невозможно.

"Если звезды зажигаются - значит это кому нибудь нужно".

Я конечно понимаю, что наличие иного мнения сильно, колбасит внутренний мир рядового линуксоида, но увы... оно есть...

iBliss
()
Ответ на: комментарий от Metallic

> Да надо бы почитать что-нить хорошое про солярис, есть рекомендации?

docs.sun.com opensolaris.org

iBliss
()
Ответ на: комментарий от Sun-ch

>Плюс GUI консоль smc - профессиональный инструмент, по сравнению со всякими костылями типа джаст в линаксе.

ну это конечно нетак. этим "профессиональным" инструментом профессионалы вообще непользуются. тот факт, что единственное в чем сходятся истинные ненавистники соляры и ее воинственные зилеты - это никчемность и монстрообразность cmc, говорит сам за себя.

aydef
()
Ответ на: комментарий от sdio

>На x86 (1-4 CPU) солярис бессмысленно ставить.

видел восьмерку, отлично работающую на 2xPII-300, 4G c ораклом 8.1.7. скорее всего до сих пор работает.

aydef
()
Ответ на: комментарий от AcidumIrae

>т.е. I/O оверхеда на файловых операциях, если у вас пару сотен или тысячи зон, не будет? ;)

оверхед есть в любом случае, просто в соляре он меньше. в линаксе же безопасность можно настроить на самом низком уровне (на уровне TE) и очень гибко... в то время как в соляре доступен только MLS.

aydef
()
Ответ на: комментарий от AcidumIrae

>может зоны и лучше(спору нет ;),

зоны конечно хороши, но в данном случае вряд ли лучше.

>но Гленн явно сгустил краски в случае с селинукс и приукрасил солярис ;)))

несомненно. чего только стоит совершенно неверное утверждение о том, что после изменения политик нужно перегружать систему, или утверждение

<quote> Thus, for every application, file, user, network, or process that a customer wants to access, essentially anything on the system, a specific line in a security policy configuration file must be written. </quote>

вообще смехотворно.

aydef
()
Ответ на: комментарий от aydef

> это никчемность и монстрообразность cmc, говорит сам за себя.

Насчет никчемности это зря, если скажем она была столь же шустрой и гибкой как SMIT в AIX и умела сохранять все настройки в темплейты как linuxconf (к сож не в курсе жива ли эта тулза еще в редхате) была бы вкусняшка.

iBliss
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.