Forum Debian Users Gang

https://forum.dug.net.pl/viewtopic.php?pid=290094#p290094

Radze zainteresowac sie FreeBSD-Hardened.

uzytkownikubunt napisał(-a):

bryn1u napisał(-a):

Radze zainteresowac sie FreeBSD-Hardened.

Tylko, że to jest oparte chyba na current? Więc jeszcze nie uznane jako stabilne. Od FBSD 11 dopiero ma być to włączone do wydania, a do tego czasu jeszcze sporo czasu upłynie.

Nie prawda.

http://jenkins.hardenedbsd.org/builds/HardenedBSD-s … d64-disc1.iso

Albo z git'a

git clone --single-branch --branch hardened/10-stable/master https://github.com/hardenedbsd/hardenedbsd-stable/ hardenedbsd-10-stable

Zmiany sa piorunujace. :D

Uname -a
HardenedBSD 10.2-PRERELASE

Ostatnio edytowany przez bryn1u (2015-08-27 12:26:23)

Cześć. Tak, to koniec stabilnych patch'y, które dostępne będą wyłącznie dla sponsorów projektu grsecurity. W oficjalnym ogłoszeniu, dostępnym na oficjalnej stronie projektu, pan Brad Spengler dokładnie wyjaśnił powody takiej decyzji. Na szczęście, wersje testowe są osiągalne dla zwykłych użytkowników. Niemniej, według PaX Team, nie są one gotowe do użytku produkcyjnego, ale myślę, że w przypadku systemu typu Desktop, sprawdzą się doskonale, jako narzędzie znacznie podnoszące poziom bezpieczeństwa. Pozostało dwa tygodnie.

Spokojnie, ja od zawsze jadę na testowych łatkach, i miałem może ze 3-4 problemy na przestrzeni 5 lat.

Przy czym nigdy nie dotyczyły elementów serwerowych, tylko typowo domowych, np ster cx88 albo pppoe.

Przy okazji łatka testowa zazwyczaj jest nawet bezpieczniejsza od stabilnej, bo każde nowe rozwiązanie najpierw trafia do testowej,
potem do stabilnej, w dodatku testowa jest zawsze na aktualne jajo,
w wersjach starszych jajek błędy są łatane w miarę informacji o nich,
a te zawsze mają spore opóźnienie względem użycia przez hakerów.
W jaju 3.2 to już chyba nawet Kaspersky znalazł jakąś mega dziurę.

Ryzyko związane z testową łatką na serwerze jest o wiele mniejsze,
niż w przypadku błędów w polityce SELinuxa czy samym programie.
Dodatkowo jako dosyć mocny ACL jest Apparmor albo Tomoyo, a jak ktoś lubi, to można łatkę grsec połączyć z SELinuxem.

Grsecurity od dawna ma kłopoty finansowe i widocznie chcą popędzić kota sponsorom.
Każdy z nas na ich miejscu by zrobił to samo.

Od kryzysu 2008 i pełzającego upadku Eurozony w ogóle jest ciężko z kasą, poczytajcie, jak do niedawna wyglądały finanse projektu GPG.
http://www.dobreprogramy.pl/Programista-ktoremu-zaw … ws,60852.html

Z resztą zobaczcie, ile minimalne trzeba dać na ten sponsoring, może to nie są jakieś kosmiczne kwoty.

Chciałem przypomnieć przy okazji, że identycznie jest z MariaDB, serwer jest bezpłatny, ale commercial support to już solidny wydatek.

Pozdro

Ostatnio edytowany przez Jacekalex (2015-08-27 18:38:21)

Yampress napisał(-a):

switch to selinux or rsbac

SELinux dorobił się funkcjonalności  PAXa, np NOEXEC, MPROTECT, PAGEEXEC, SEGMEXEC?

Bo zdawało mi się, że SELinux i Grsecurity/Pax to trochę inne bajki i inne filozofie postępowania, czasami nawet bardzo odległe.
W Grsecu RBAC jest jedną z funkcji składowych, nie najważniejszą nawet,
sami Developerzy Grsec delikatnie polecają Apparmora zamiast albo łącznie z RBAC.

Ostatnio edytowany przez Jacekalex (2015-08-29 07:29:50)