Forum Debian Users Gang

Raczej kiepściutkie porównanie, każdy element tego porównania w Gentoo możesz sam sobie skonfigurować i uruchomić, a w tym Mempo się chwalą, że to już podobno ma OTB.
(ciekawe, czy klucze do szyfrowania też mają domyślne. :D)

Uwierzę, kiedy zobaczę, jeśli miałbym wskazać system, który jest bardzo bezpieczny bezpośrednio po instalacji, to zdecydowanie OpenBSD, a ile z nim potem jest roboty, to sam wiesz nieźle.

Ile razy widziałem systemy "gotowe" OTB, to zawsze coś w nich było poniżej krytyki,  i  tak trzeba było w nich grzebać, co jest często trudniejsze, niż postawienie części lub całości systemu od zera.
Dlatego wolę Gentusia, bo po prostu "wiem, co w nim jest", to tak, jak z bigosem domowym albo ze stołówki. :D

Ja już chcesz szukać Linuxa bezpieczniejszego niż Gentuś hardened, w wersji OTB, to raczej zobacz Qubes OS.

Pozdro
;-)

Jeżeli ten projekt bazuje na repozytoriach Debiana Stable, to Debian stable pod względem hardeningu na poziomie kompilatora bardzo dzielnie ściga Ubuntu. :D
Z Gentusiem pod tym względem w ogóle nie ma porównania.

Jeśli natomiast masz już gotowe programy w binarkach, to cały wyścig na linii Gentoo - Debian to jest wyścig na to, którego ktoś lepiej skonfiguruje, od kluczy ssh, poprzez chrooty do maszyn wirtualnych, systemy ACL, to wszystko jest konfiguracja.
Jak się odpala Xena czy LXC pod solidnie skonfigurowanym Grseciem, to nawet w tym wątku niektórzy wiedzą. :D

Alpine Linux nie sprawdzałem, sprawdzałem wszystkie główne dystrybucje,
z wyjątkiem Archa, na wszystkie Linuxy życie jest stanowczo za krótkie. ;)

Ostatnio edytowany przez Jacekalex (2014-08-13 11:33:29)

Jesienią status stabilny dostanie gcc-4.8, jak większość systemu się na nim będzie kompilować poprawnie.
W Gentoo nowy kompilator jest dużo później, niż w Debianie, bo czeka,
aż developerzy sprawdzą na swoich systemach ten kompilator w różnych warunkach, na różnych procesorach i z rożnymi flagami.
Ten etap w Gentusiu jest znacznie bardziej zaawansowany, niż w paczkowatych dystrybucjach, np Debian może sobie mieć gcc-4.9 i 75% systemu kompilowane gcc starszym niż 4.8, i wszystko działa.
W Gentoo, jak masz w działającym  systemie kompilator GCC oznaczony jako stabilny, to jest duże prawdopodobieństwo, że cały system był nim kompilowany.

Dlatego kompilator w Gentoo  staje się stabilny, jak można go bezpiecznie wsadzić do stage instalacyjnego, bez ryzyka jesieni średniowiecza na bugzilli. :DDD

W Gentoo jakość kompilatora GCC widać na "żywym organizmie". ;)

Ostatnio edytowany przez Jacekalex (2014-08-13 12:31:03)

Nie wprowadza się w ogóle, w Gentoo masz takie flagi, jakie sobie sam w make.conf ustawisz.
Developerzy się nie zajmują tym, jak sobie zmienne w make.conf ustawisz.

Jedyny wyjątek, to kompilator hardened. gdzie Developerzy dodali fstack-protector, PIE, bindnow i fortify-source  (nie trzeba  dodawać ręcznie) jako domyślne,  fstack-protector-strong pewnie też dodadzą, jeśli nie będzie z nim jakichś koszmarnych problemów.
W każdym razie team hardened ustala domyślne zachowanie kompilatora, każdy może je sobie modyfikować przy pomocy CFLAGS samodzielnie.

Jak koniecznie potrzebujesz info w tej sprawie, to zapytaj na liście mailingowej projekt hardened.
Wykaz list mailngowych masz tutaj:
http://www.gentoo.org/main/pl/lists.xml

W Gentoo paczek nie skompilowali, bo ich nie kompilują, pacjenci sobie paczki robią we własnym zakresie, Developerzy dają tylko narzędzia do budowy.

Ostatnio edytowany przez Jacekalex (2014-08-13 15:09:26)

Mylisz dwa pojęcia.
Very Secure Linux - to określenie gotowych stabilnych dystrybucji, w których sporo uwagi poświęcono bezpieczeństwu.

Gentoo samo w sobie nie jest bezpiecznym systemem, bo nie pobierasz w przypadku Gentoo gotowego systemu, tylko worek klocków i narzędzi, z których sam budujesz system.
Ten system może być bezpieczniejszy, niż OpenBSD, albo bardziej dziurawy, niż Windows 95, w zależności od tego, kto go stawia i konfiguruje, i jak to robi.

Ot i cała tajemnica Gentusia, i wyjaśnienie, dlaczego w takich porównaniach i grafikach umieszczanie Gentoo nie ma sensu.

Gentoo tym się różni od innych dystrybucji, że jak go używasz, to przy okazji cholernie dobrze poznajesz każdy kawałek Linuxa, w tej dziedzinie lepszy jest tylko LFS.

Bezpieczeństwo Gentoo w dużym stopniu bierze się z tego, że nie ma dwóch idealnie jednakowych systemów Gentoo na świecie, każdy jest w jakimś stopniu unikalny, w rezultacie trudniej przygotować na niego exploity, niż na system, w którym wszystkie egzemplarze  na świecie mają paczki o tej samej sumie sha1, potem jak w Debianie czy CentOSie pojawi się dziurawa paczka, to automatycznie ląduje na co najmniej 20 milionach serwerów.
To bynajmniej nie oznacza, że w Gentoo nie ma błędów, oznacza natomiast, że część błędów jest unikalna dla pojedynczego systemu, i świat się o nich zbyt łatwo nie dowie, nie mówiąc o ich skutecznym wykorzystaniu. xD

Dlatego na ten system dużo trudniej przygotować wektor skutecznego ataku, niż na Debiana, bo w przypadku Gentusia atakujący nie ma pewności, co w nim dokładnie jest.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-08-13 18:57:52)

Gentoo hardened, Gentoo-RBAC, Gentoo-freebsd, Gentoo-embeded - to są tylko profile systemu Gentoo, czyli praktycznie zestaw innych flag USE i czasami łatek, względnie w przypadku BSD inne jajo.
Gentoo ma wiele twarzy.

W dalszym ciągu stage instalacyjny, ebuildy i dokumentacja, to jest bardziej skrzynka narzędzi i worek klocków, niż system operacyjny.

Faktycznie coś tam zmieniają w hardened-sources, ale główna cześć, czyli konfig i kompilacja, to robota dla pacjenta.
Nawet nowe opcje konfigu, to dalej są tylko łatki, choć rzeczywiście wyglądają niezwykle poważnie.

Czy to grsecurity nie będzie przeszkadzało w aktualizacjach, doinstalowywaniu softu?

Sam Grsec nie powinien powodować problemów, ale jeśli tam jest włączony PAX_MPROTECT, to całkiem sporo paczek ze standardowego repo Debiana będzie łapało różne segfaulty i podobne historie, zwłaszcza w okolicach środowiska graficznego.

Pax jest integralną częścią każdej łatki Grsec, chociaż jest rozwijany jako osobny projekt.

Jeśli natomiast wyłączyli MPROTECT, to tym samym wyrwali najmocniejszy pazur PAXa do ochrony przed exploitami operującymi w pamięci RAM.

Paczki działające w środowisku Paxa się troszkę inaczej kompiluje, co w Debianie ciągle nie jest jeszcze standardem, więc ten Mempo-linux musiałby mieć własne repozytorium, a w tym repo byłoby znacznie więcej roboty, niż w przypadku repo Ubuntu.

Jak w Archu wprowadzili kernel-grsec, to do zarządzania flagami Paxa napisali osobnego demona systemowego Paxd . :D

Ostatnio edytowany przez Jacekalex (2014-09-17 21:31:05)

alfa444 popisać to raczej możesz z dziewczynami na czacie na interii.  Poważni developerzy głupotmi się nie zajmują i nie  chcą aby im ktoś pierdołami zawracał D.  Masz taki sam poziom wiedzy o programowaniu i bezpieczeństwie co oni? Więc o czym chcesz z nimi pisać? O pogodzie?

=8D

Nie znam się na temat programowania i nie zamierzam ich pouczać jak mają co robić. Natomiast mam pewną wiedzę i wizję co warto byłoby zrobić.
Brak linuxowi chocby plausible deniability w luks. Brak możliwości nasladowania innych OS aka (defeating OS fingerprinting), który ma tails (nawet jesli dziala tylko do pewnego stopnia). Kazdy soft który jakoś narażalby jego użytkownika powinien być w takim systemie przez tora domyslnie skonfigurowany.
Zabezpieczenie przed dns cache posioning - to przeciez opendns i cloudns oferuje DNSSEC, który własnie przed tym chroni. Warto byłoby im to podpowiedzieć, bo jesli ich projekt się powiedzie to będzie przebój ewolucyjno-cywilizacyjny! :D

Osobiście,  byłbym za tym żeby przede wszystkim zajęli się uodpornieniem kernela na wykonywanie exploitów, bo ze wszystkim innym można sobie we własnym zakresie poradzić, ale z grsec/[ax już bardzo ciężko;/

Ależ mogą sobie chcieć, jednak żeby wykorzystać cały potencjał Grsecurity i Paxa, to trzeba specjalnych paczek, gdzie literalnie wszystko jest kompilowane z PIE, bindnow, relro, a nie co 5 czy  51 paczka, jak w obecnym repo Debiana.

Dopiero jak całe repo będzie kompilowane z takimi pancernymi flagami, i przy okazji wtyczkami do Paxa (takie też są), to będzie jakieś porównanie z tym systemem, który mam właśnie przed nosem.

Z wirtualizacją nie chce mi się bawić, poza tym i tak brałbym KVM a nie Xena, w każdym razie mam teraz szybki, stabilny i ultra-bezpieczny system, problemów z nim mniej niż z Debianem testing, większych problemów brak.
Natomiast na zrobienie całego repo Debiana z pancernymi flagami to nie tylko Mempo nie stać, ale nawet Cannonical, które na tym polu zrobiło wbrew pozorom całkiem sporo.

Poza tym widziałem już kilka projektów takich pancernych Linuxów, i zawsze to były niszowe projekty, które potem obumierały śmiercią naturalną.
Ostatnio dopiero najpierw w 2010 zaczęli zbroić Ubuntu, ale się zatrzymali, teraz Arch ostro zaszalał z bezpieczeństwem, także Gentuś hardened może wreszcie straci monopol na pancer-linux.

Ale przyszłości Mempo nie wróżę, wystarczy spojrzeć na OpenBSD, żeby wiedzieć, jaki udział w "rynku" może mieć taki system.

Poza tym pancerny system, który jest "gotowy" ma tą wadę, ze i tak nie wiem, co  w nim dokładnie jest, jakie skrypty i triki z konfiguracją, a jak stawiam Gentusia, to znam w nim każdy plik i każdy szczegół konfiguracji, bo ten system nic nie robi bez mojej wiedzy i zgody.
A np Debian przy instalacji automatycznie restartuje demona, co przy solidnych modyfikacjach bezpieczeństwa powoduje tony błędów.

Prosty przykład, na binarce Ngixna ustawiłem cap_net_bind_service+ep ale zabrałem mu bit SUID i SGID.
Kiedy bez tego uprawnienia net_bind_service się go spróbuje odpalić po instalacji, to przechodzi w tryb zombie i blikuje wszystkie semafory IPC.
Powodem jest aktywny profil apparmora dla Nginxa, w którym jest ściśle napisane, co nginx może robić w systemie..
Wystarczy mu jednak dodać odpowiednie uprawnienie capabilities przez polecenie setcap, żeby normalnie wisiał na porcie.

Aktualizacja Nginxa na serwerze Debiana w takich warunkach oznaczałoby każdorazowo katastrofę, z wywaleniem np Postgresql z braku dostępnych semaforów IPC.

Ale w Debianie Nginx i Apache wiszą na porcie zawsze jako root, choć nie ma ku temu żadnych racjonalnych podstaw ani powodów.

Dlatego średnio wieżę w taki projekt jak Mempo, który zrobi niewiarygodne cudo bazując na repozytorium Debiana, które to repo znam nie najgorzej.

Pozdro