> Я уже читал что MAC вы считаете лишь помощником руткитерам, а подсистему "Лишь" - вы от себя добавили. Пока ядро не защищено, с моей точки зрения польза от MAC не оправдывает риски в сколько-нибудь серьёзных случаях.
> Audit вообще лишенной смысла. Ваше право, считайте. Я же считаю что
Вы доводите моё мнение до абсурда.
> в Линуксах просто необходимы вышеприведенные техники защиты. В первую очередь потому,
Они нужны везде, где нужна защита. Когда оценочная стоимость охраняемых данных на чёрном рынке превышает $100k, например.
> что проще оказалось изобрести имено эти системы нежели в общем следить
> за качеством кода. Эдакий выстрел из пушки по воробьям. С другой
Одной заботой о качестве кода больших монолитных ядер существенных результатов не достигнуть. Тут нужен многоуровневый подход, сторонником которого вы якобы являетесь. Избирательно.
> стороны я так понимаю вы готовы поставить на то, что с
Нет, не понимаете и не хотите понять.
> исользованием данных техник ваш линукс перестал быть уязвимым априори? grsecurity /
> PaX / KERNHEAP patchsets все это bug free?
Вы не вдумываетесь даже в смысл моих ответов прямым текстом вам лично. Мните себя реалистом? Не льстите себе. Ваши реплики - это срез чёрно-белых взглядов максималиста, который не оставляет окружающим права на относительные суждения.
> Патчесеты стоит заметить не в mainline.
Заметить действительно стоит. Плохо, что не в mainline.
> Во FreBSD есть поддержка DEP, MAC,
"Поддержка DEP" там есть в вырожденном виде только на куче в юзерспейсе. Считайте, что нет. Особенно в свете jemalloc, двинутого сугубо и весьма на производительности.
> AUDIT, есть _securelevel >=2 в конце концов, и в целом более
Вы главное из виду упускаете: ни один из этих механизмов ядро от скомпрометированных пользовательских процессов не защитит. Впрочем, я всё это уже разжёвывал и повторять не собираюсь.
> качественный код. Заметь у меня нет задачи заставить вас использовать FreeBSD,
У меня сложилось впечатление, что ваша задача - зашориться от критики и оправдать любимую ОС правдами и неправдами, в том числе перевирая в вырывая мои слова из контекста.
> Боже упаси. Мне вообще до лампочки что у вас используется. Мое
Вы говорите так, будто эти слова для меня должны стать откровением.
> мнение такое фря развивается на жалкие 300 тысяч в год, при
> этом уровень безопасности системы достаточно высок
Уровень безопасности может быть "достаточно" высок лишь в конкретных случаях.
> количество vulns относительно небольшое.
Вы понимаете, что вы ничего не знаете о количестве, серьёзности и сложности поиска НЕ найденных уязвимостей? Вопрос риторический.
> Наличие MAC и AUDIT позволяют поднять уровень безопасности.
Они не предназначены для защиты ядра.
> Соглашусь, но и эти патчсеты можно обойти. Да со всеми фишками аля
Можно. Но стоимость обхода во многих случаях превысит прибыль от взлома системы. Что для вас значит "можно обойти"?
> PaX, grsec., patchsets, линукс безусловно надежнее. Но не кажется ли вам
> что нужно лечить болезнь, а не ее симптомы. Учитывая что в
Болезнь - это язык. Да, мне кажется, что её нужно лечить, но не так это просто и быстро. Упомянутые патчсеты позволяют снизить наносимый вред. А вот реактивные патчи на уязвимости - действительно, лечение симптомов в чистом виде.
> линукс вкладываются чуть ли не миллиарды денег, Торвальдс отрицает наличие проблемы
> с безопасностью как таковой.
Как таковой - не отрицает. Не доводите до абсурда. Впрочем, Торвальдс в этом и сам преуспел.
> Да читал я все, однако заметил огромную предвзятость, поэтому и ответил в
> том же ключе.
Предвзятость? Загляните в словарь. Моё мнение о FreeBSD основано на фактах. В том же ключе? Вы снова себе льстите.
> Слова Фюрера о том что его полностью устраивает текущее качество кода и
> полное отрицание проблем с безопасностью наводит знаете на мысли. Если человек
Качество кода его не устраивает, проблемы с безопасностью он полностью не отрицает. Это очередное доведение до абсурда с вашей стороны.
> _верит_ в то, что плод его творчества не требует работы над
Давно уже не верит, если вообще верил когда-либо.
> качеством и безопасностью при этом продолжает обрабатывать патчи на скорости граничащей
> со здравым смыслом, у меня это как минимум вызовет вопросы. Безопасным
> такой подход назвать никак нельзя.
Безопасным нельзя назвать даже реальный подход Торвальдса, не говоря уж о ваших фантазиях.
> Да вобщем-то ничего особенного, утомительно все перечислять. Эти люди _верят_ в то,
[поскипано описание бюрократического аппарата]
> дядька, тоже входит в security department.
Ясно, спасибо.
> Ну если для вас Тео неуч, Крис Касперски лох, то моя критика
Неуча-Тео и лоха-Касперски вы только что придумали.
> это уровень 5го класса, не больше. Не знаю как ваш, а
А вот вес и форма подачи ваших аргументов вполне реальны.
> мой пятый класс был в далёком совке, во времена ЕС ЭВМ
> и трамвая по 3 копейки.
Ну так и соответствуйте. Или вам комфортнее иначе?
> Дальнейшую дисскуссию считаю лишенной смысла, ибо мне вам что-то доказывать абсолютно не
Вот и поглядим.
> впёрлось. Если вы всетаки напишите POSIX совместимое чудо-ядро на эрланге я
ОС на эрланге - очередной плод вашей бурной инфантильной фантазии, разыгравшейся на почве диагонального чтения.
> пожалуй первым это попробую, удручает только то что небезопасный Си использовали
> при написании безопасного эрланга. Тоже как-то не стыкуется с вашей же
> теорией тотальной безопасности.
Уж с вашей теорией тотальной безопасности точно не стыкуется. А у меня всё складно да ладно.