Forum Linux.pl

System => Inne => Wątek zaczęty przez: toloxx w 2007-10-06, 09:45:20

Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: toloxx w 2007-10-06, 09:45:20
Tak się zastanawiałem ostatnio czy twórcom open-source i twórcom pakietów można 100% zaufać. Jak wygląda budowanie dystrybucji? Np. takiego Debiana lub openSuSE. AFAIK to najpierw pobiera się kod źródłowy dla danego pakietu, potem ktoś robi z tego paczke i wrzuca do repo. Ale.... czy ktokolwiek sprawdza ten kod czy jest "czysty" czy nie zawiera żadnego wirusa/szpiega? A jeśli ktoś przerobi "czysty" kod, doda tam szpiega i zrobi z tego binarną paczkę, wrzuci do repo, tak że nikt się nie zorientuje, że został dodany spyware... To są takie hipotetyczne możliwości.

A jak np. wygląda w przypadku komercyjnych linuksów (RedHat, SuSE enterprise), czy twórcy tych systemów sprawdzają kod czy też po prostu robią paczki i nie przejmują się tym czy te źródła są bezpieczne czy nie.

Rozwiejcie proszę, w jakiś sposób moje wątpliwości i wyjaśnijcie mi tu w jaki sposób powstaje distro i czy jest szansa na to, że ktoś może wpuścić do dystrybucji szpiega/wirusa, czy też może można czuć się bezpiecznie?

No i właśnie szukam jak najbardziej bezpiecznej i stabilnej dystrybucji linuksa, co moglibyście polecić? Myślałem o Debianie stable, chociaż teraz kusi mnie nowy openSuSE.
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: w 2007-10-06, 11:44:11
Hej!
Ciężki temat został poruszony ;)
Wiadomo, że najbardziej podejrzane mogą być dystrybucje które są mało popularne albo wręcz niszowe. Dlatego zalecam zawsze używanie najpopularniejszej dystrybucji. np. Debian, Ubuntu czy openSUSE.
Wiesz... nawet gdyby ktoś kiedyś coś zaszył w kodzie źródłowym i do tej pory nie zostało to odkryte... to zastanów się jak sprawa wygląda w Windows. Tam nawet nikt nie ma możliwość aby sprawdzić co jest w środku. Patrząc po ilości poprawek dla tego systemu i różnych włamach to systemy open source są dużo bardziej bezpieczne. Pomijam fakt, że nad Windows pracuje pewnie kilkuset programistów a nad Linux.... cóż parędziesiąt tysięcy?!
Co do wersji komercyjnych. np. SLED bazuje na openSUSE. Tak jak openSUSE 10 posłużyło dla zrobienia SLE(D/S) 10 tak z openSUSE 11 zrobią SLE 11.
Nie ma co się bać ;)
Co do Debian to dla mnie jest to trochę chory projekt(zawiewa średniowieczem). Stwierdzili np. że logo Firefox'a zostało zrobione za pomocą narzędzi o zamkniętym kodzie źródłowym i dlatego zrobili swoje :/
Polecam dystrybucję która ma najwięcej programistów – openSUSE.
Pamiętaj też, że jeśli Novell nie sprawdziłby dobrze, kodu SLED'a i sprzedałby to klientom to wyobraź sobie jaka kicha by była dla tej firmy.
Jak powstają dystrybucje... Jak chcesz sam zrobić to jest projekt LFS(Linux from Scratch). Sam kilka robiłem i wiem, że nie jest to aż tak skomplikowana sprawa.
Mam nadzieję, że Ci trochę rozjaśniłem sprawę.

Mariusz
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: toloxx w 2007-10-06, 12:25:53
Nom, dzięki za info. Właśnie też o tym pomyślałem, że skoro Novell robi SLED na podstawie openSuSE to musi się starać. Ale z drugiej strony czy cały openSuSE jest w pełni otwarty? Czy Novell nie może dla własnych interesów zamontować tam backdoora? Ja wcale nie przesadzam. Ostatnio była akcja np. ze Skype'm dla Linuksa, w którym to ludzie wykryli, że jest spyware wbudowany. Oczywiście Skype ma zamknięty kod. O Windowsie też słyszałem pogłoski, że na zlecenie NSA Microsoft musiał wbudować backdoora.
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: w 2007-10-06, 13:55:27
Tak naprawdę nigdy nie możesz mieć 100% pewności :( Wiadomo, że głównym problemem może być dostęp do internetu. Podsłuchanie haseł itp. Nawet gdyby Twój system miał to 100% pewności to nigdy nie wiesz czy następne ogniowo do którego jesteś podłączony ma to 100%. Niestety musimy uronić małą dawkę zaufania dla developerów.
Kiedyś powstał wątek, że tak naprawdę dyski mają dwa razy większą powierzchnię niż faktycznie jest na nich napisane. Miało to na celu podwójny zapis danych w celu pozyskiwania ich dla celów postępowania karnego. Nawet nie możesz sprawdzić czy to prawda! No bo niby jak? Nawet jak go rozkręcisz to i tak nic Ci nie da.

Mariusz.
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: boroowa w 2007-10-06, 14:27:30
Tak jak powyzej koledzy pisza, zawsze nie mozna miec 100% pewnosci co do instalowanych plikow. Ale na przyklad po to sa programy typu apt, adept i synaptic, by zminimalizowaly ryzyko szpiega/wirusa poprzez sciaganie programu z sprawdzonego repozytorium...

Zreszta poza tym sadze, ze programisci open-source'a sa bardzij dojzali niz te lamy z windy.. Wiedza, ze lepiej jest budowac niz niszczyc....
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: w 2007-10-06, 15:01:06
Podejrzewam, że chłopaki z Redmond chcą dobrze, ale im nie wychodzi ;)
W sumie na upartego to i bios na płycie może mieć jakiegoś małego szkodnika w sobie :(

M.
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: boroowa w 2007-10-06, 15:08:32
W sumie to tak, ale to juz nie nalezy do tresci pytania :D

nam chodzi tylko o programy linuksowe...
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: w 2007-10-06, 15:12:24
Najbardziej podejrzane może być jądro Linuxa. Pracuje nad nim kilku programistów, więc można mieć wątpliwości o to co kto i ile tam dokłada. Z tego co wiem jest kilka osób, które zatwierdzają wszelkie zmiany. Jedyne na co możemy liczyć to to, że jednak czytają to co podpisują ;)
Z drugiej strony mówi się, że skoro Linux jest oprogramowaniem o otwartym kodzie źródłowym to zawsze można sobie zajrzeć co w nim siedzi.... kto o zdrowych zmysłach będzie siedział i grzebał w 200MB kodzie jądra :D:D:D

M.
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: Maciek_Rutecki w 2007-10-06, 20:36:07
Cytat: donmarianno
Najbardziej podejrzane może być jądro Linuxa. Pracuje nad nim kilku programistów, więc można mieć wątpliwości o to co kto i ile tam dokłada. Z tego co wiem jest kilka osób, które zatwierdzają wszelkie zmiany. Jedyne na co możemy liczyć to to, że jednak czytają to co podpisują ;)
Z drugiej strony mówi się, że skoro Linux jest oprogramowaniem o otwartym kodzie źródłowym to zawsze można sobie zajrzeć co w nim siedzi.... kto o zdrowych zmysłach będzie siedział i grzebał w 200MB kodzie jądra :D:D:D

M.
Nie siać herezji ;-)

Nad jądrem pracuje minimum 250 aktywnych deweloperów, do tego dodaj znacznie więcej testujących, rozwijających własne gałęzie itp, a zbierze się ich na pewno tysiąc. Naprawdę ciężko coś przemycić, szczególnie że ktoś musi się pod tym podpisać i być już dobrze znanym na LKML.

Co do liczby osób zatwierdzających patche; wszystkie są publicznie ogłaszane na LKML, można spokojnie przejrzeć sobie zawartość i dużo osób to robi. No i zanim trafi do stable, to długa droga (drzewka -mm, -rc...)

Co do Debiana i Firefoksa, tutaj poszło o coś więcej jak niewolny kompilator... Proszę spojrzeć na liczbe architektur,  które obsługuje Debian, na ile jest robiony Firefoks, no i na licencję Mozilli. Deweloperzy Debiana potrzebowali paczek pod inne architektury niż 386 AMD 64 i powerPC, problem w tym, że Firefox jest dosyć bałaganiarsko pisany i próby kompilacji pod inny sprzęt bez patchy kończyły się problemami. Licencja Mozilli mówi, że każde zmiany w kodzie robione przez osoby trzecie powodują, że nie można posługiwać się znakami towarowymi Mozilli. Z drugiej strony deweloperzy Debiana narzekają na opieszałość w prowadzaniu ich patchy przez twórców Firefoksa i s-ka. Do tego doszły prywatne animozje deweloperów...

Co do samego bezpieczeństwa systemu, żaden nigdy nie będzie bezpieczny, to zależy od admina. Używam selinux na debianie, codziennie zaglądam do logów i na ruch na interfejsach, ale nie czuję się, że jestem bezpieczny.
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: norbert_ramzes w 2007-10-06, 21:49:42
Cytat: donmarianno
Co do Debian to dla mnie jest to trochę chory projekt(zawiewa średniowieczem). Stwierdzili np. że logo Firefox'a zostało zrobione za pomocą narzędzi o zamkniętym kodzie źródłowym i dlatego zrobili swoje :/
Polecam dystrybucję która ma najwięcej programistów – openSUSE.
Ja niewyobrażam sobie innego distro na serwer i do użytku domowegi niż Debian. Ale dla początkujących to lepiej SuSE, Mandriva albo Ubuntu.


Cytat: Maciek_Rutecki
Co do samego bezpieczeństwa systemu, żaden nigdy nie będzie bezpieczny, to zależy od admina. Używam selinux na debianie, codziennie zaglądam do logów i na ruch na interfejsach, ale nie czuję się, że jestem bezpieczny.
Bezpieczeństwo systemu zawsze zależy w 99% od admina.

np. źle albo wogule nieskonfigurowany Debian jest mniej więcej tak bezpieczny jak win%&#&% zwłaszcza 98 i vista (tfu!)
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: toloxx w 2007-10-07, 11:25:26
Hm... A wie ktoś czy Java JRE ma otwarty kod źródłowy? Bo szkoda, że np. flash ma zamknięty (a jest instalowany prawie na każdym desktopowym komputerze). A jak jest z gnashem? Da się nim odtwarzać filmiki np. z youtube?
Oczywiście tymi pytaniami nawiązuje do tematu bo zamknięta java czy flash może mieć backdoora etc. itd.
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: w 2007-10-07, 14:49:51
Jak się w openSuse instaluje jave to jest informacja z pytaniem o zgodę warunków licencji.
Wpisując w google: "is java open source" to pierwsza odpowiedź brzmi: "Free and Open Source Java". Java ma otwarty kod źródłowy.

M.
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: w 2007-10-07, 17:01:17
co do gnasha, to chyba ostatnio coś pisali, że już youtuba odtwarza (albo był to jakiś inny odtwarzacz flasha). W każdym razie z tego co mi wiadomo, to do takiego zwyczajnego użytkowania na co dzień, to na razie nadaje się tylko flashplayer od adoba. Alternatywne rozwiązania są wciąż rozwijane, ale jak na razie jeszcze trochę im brakuje do oryginału.

Jeśli chodzi o główny temat wątku, to wydaje mi się, że sprawa z wirusami jest prosta - architektura samego UNIXa jest na tyle bezpieczna, że wirusy na te systemy są praktycznie bezużyteczne (nawet jeśli zarażą jakiś system, to mają bardzo mało możliwości rozprzestrzeniania się). Co do spyware - ryzyko jest o wiele większe, ale należy pamiętać o tych wszystkich maniakach (w pozytywnym znaczeniu ;) ), którzy spędzają całe godziny nad sprawdzaniem czy kóryś z programów zainstalowanych na ich kompie nie robi czegoś podejżanego (dla przykładu wystarczy wymienić wszystkich tych, którzy na własną rękę, nieopłacani przez nikogo, wynajdują i upubliczniają najdrobniejsze nawet bugi znalezione np. w przeglądarkach; albo podany przez Ciebie przykład Skype - ktoś postanowił zobaczyć jak działa i co robi i w końcu odkrył co nieco, choć protokół Skypa jest dość trudny do rozgryzienia (z tego co czytałem; podobno są dwa poziomy szyfrowania itp) Jeśli takiego zamkniętego i ufortyfikowanego Skypa udało się rozgryźć, to sprawdzenie otwartego programu jest banalne dla takich "testerów")

A tak do poczytania jeszcze trochę ciekawych rzeczy:

http://linuxmafia.com/%7Erick/faq/index.php?page=virus (jest to artykuł o wirusach w Linuksie, porusza między innymi wspomniane przez Ciebie tematy bezpieczeństwa repozytoriów i spyware-u)

http://www.linux.pl/?id=article&show=329 (porównanie Windowsa i systemów UNIXowych pod względem niebezpieczeństw wynikających z wirusów)
Tytuł: Bezpieczeństwo systemów linuksowych
Wiadomość wysłana przez: w 2007-10-07, 17:28:51
Bardzo fajne artykuły.
Dzięki za przytoczenie ich.

M.