Názory k článku
Je Linux čtyřikrát méně bezpečný?

Je potřeba psát článek o tom, že už zase někde někdo hází špínu na Linux? To vyjde nastejno jako třeba tohle:

Micro$oft je hnusnej, může za všecko, a na Linux a BSD a háže hnůj. Ale my se nedáme, Linux rulezzz!!!

V principe suhlasim. Diskusii o tom, co je lepsie a co horsie ma uz davno nebavia. Kazdy uzivatel ma svoj nazor a je velmi tazke ho presvedcit o opaku ;)

ano, tak si myslim, ze to jakym stylem byl tento clanek napsan je velice nestastne. Myslim, ze by stacilo uverejnit ten clanek s jeho vysvetlenim. Komentare typu, "co byste delali kdybyste psali spravu pro microsoft", mi pripadaji dosti nevhodne.

Kazdy prece vi, ze 800:2300 neni 1:4 a stejne tak kazdy kdo se pohybuje v unixu vi, ze se toto neda tak skatulkovat jako ve Windows (viz. zranitelnosti ktere funguji jenom za urcitych presnych verzi urcitych programu s urcitou knihovnou a zcela jiste urcitym jadrem a nepochybne jenom v urcitou hodinu ;-))

Mozna to vedi vsichni, ale vedi to i manazeri, kteri o nasazeni toho ci onoho OS rozhoduji? Zprava typu "Linux je ctyrikrat mene bezpecny" je presne toho typu, ktereho se rada manazeru chytne a koupi Windows.

nuz, to je naozaj zavisle na tom co od toho systemu ocakavaju, ak ide len o "look" systemu, tak nech sa paci, ale co sa tyka scalability si myslim ze *nix systemy su na tom trosku lepsie.

Kuš. :->

Ano, 800:2300 není jako 1:4, ale jako 1:2,875 :-)

Presne jste to tu vystihli. clanek je opravdu vic nez zavadejici. V principu by se dalo rict servery zamerene na lidi hani linux tak mi linuxari budem hanit windows.

nikoho nehani, vracia. Ping,pong.

normalne vysvetlenie, plus uvaha, preco by to tak mohlo byt. Autor clanku ma pravo napisat svoja nazor, a ostatnym iba ponukol jednu vyziu, ktora, ako isto vsetci vieme nemusi mat vobec daleko od pravdy :o)

Asi jsem Vás spravně nepochopil. Nabádáte tedy ostatní aby nevyvraceli nepravdy a případně i pomluvy?

Tedy někdo napíše článek, zprávu, ... ze které vyplývá skutečnost o které vy víte že není pravdivá. Považujete za házení špíny na autora že vysvětlíte jak se věci mají? Podáte důkazy upozorníte na slabá místa.

Takže trochu drsněji. Hypotetická situace. Někdo o Vás začne psát že jste pedofil a hajzl. Považujete za nevhodné se proti tomu jakýmkoliv způsobem bránit?

Pokud sve namitky smerujete proti textu:

> Položme si zásadní otázku: Kdybyste chtěli vytvořit zprávu, která by co nejvíce nahrávala MS Windows, jak byste to udělali?

Můžete to chápat jako logické rýpnuti do originálního zdroje. Quo bono? Již pokládáme původnímu článku (autoru původního článku).

Obecně není dobré, když někdo šíří nepravdivé údaje, a je celkem jedno, jestli úmyslně, nebo z nedbalosti. Ale případ Linuxu a Windows je - podle mě - už natolik známý, že zprávy, jako je ta popisovaná v tomto dlouhém článku, nepotřebují komentář delší než pár desítek slov.

> Ale případ Linuxu a Windows je - podle mě - už natolik známý, že zprávy, jako je ta popisovaná v tomto dlouhém článku, nepotřebují komentář delší než pár desítek slov.

Toto tvrzení není pravdivé. A od jeho nepravdivosti se odvíjí vše další. To že jste obeznámen s problémem vy nebo já, neznamená že je s ním obeznámena podstatná část veřejnosti. A právě je je třeba po pravdě informovat a vyvracet všechna nepravdivá tvrzení. Předkládat důkazy a vůbec je řádně informovat.

Pokud si myslíte že za pravdu není třeba bojovat, že je každému jasná, tak žijete v jiném světě než já.

O tom, že Microsoft o Linuxu lže a že mnozí uživatelé Linuxu na oplátku shazují Windows více, než si zaslouží, ví dnes už úplně každý, kdo projevil alespoň nějaký zájem o tuto problematiku. S ostatními nemá cenu takto ztrácet čas. Navíc články napsané tak, jako ten nahoře, mohou mít spíše opačný účinek.

Motáme se stále dokola, shrnul bych to do těchto bodů:

1. Ne všichni vidí do problematiky kterou rozebíráme.
2. s ostatními má smysl ztrácet čas, neb v jiné problematice jste Vy ten ostatní
3. nemá smysl účastnit se honění vlastního ega v diskuzích typu
   • A: můj systém je větší
   • B: a můj ještě větší.

Do kola se nemotáme, mám jen opačný názor.

Anem muj desvorc je vetsi nez tvuj?
-- see spaceballs ;-)

> Položme si zásadní otázku: Kdybyste chtěli vytvořit zprávu, která by co nejvíce nahrávala MS Windows, jak byste to udělali?

- Já bych psal o tom, kolik bezpečnostních děr bylo za uplynulý rok nalezeno ve verzi Windows 2.0 , určitě žádná. Tož sakra proč všichni nepoužíváme ten malinkatý a měkký konec??? Proč tak riskujeme???

Myslim, ze skutecnost je dana, nechci tvrdit ze MS je ten zly a Linux je ten pastir co vyvede uzivatele z temnoty. Ale co se bezpecnosti tyce, jak dokazete vysvetlit clanky jako je napr. tento http://osnews.com/story.php?news_id=13177.

Tak ho spolehlivě najdete právě na to Živě.cz
Jen mě zaujalo, že této zprávě nevěří ani zapálení Windowsáci (a že jich pár znám), tak bych závažnost této zprávy nepřeceňoval. On jí totiž asi něvěří nikdo.

Mno, nevim, zda je to uplne relevantni, ale v Gentoo GLSA mi vyslo za rok 2005 celkove 307 bezpecnostnich aktualizaci, z toho bylo 7 relevantnich pro muj cerstve nainstalovany desktop - image 2005-r1.

Prave, to je dalsi vec, ktera vysledky zkresluje.

V linuxovych distribucich je spousta balicku a alternativnich aplikaci, ze kterych si clovek vybere a v tom mnozstvi uz se nejaka ta chyba cas od casu najde; zvlast kdyz rada z aplikaci je ve vyvoji.

Zajimalo by mne, kolik aplikaci sledovali pro windows a kolik pro vsechny ruzne varianty unixu. Jestli nahoduou v 10x vetsim poctu aplikaci nenasli cca 3x vice chyb... (to ze na zaver napsali 4x vice uz jen potvrzuje, ze ani neumeli pocitat)

Souhlasím s článkem, studie je možná správná, ale výsledky jsou zkreslené - OS Windows má taky různé edice (byť třeba založené na podobných základech) a ne vždy se všechny chyby(i když je otázka jak to počítali) vyskytují ve všech edicích, řádách a jazykových mutacích.
Je pravda že, některé principy Windows nejsou zrovna nejšťastnější, ale bohužel nebyly nikdy navrhovány na využití, ve kterém dnes pracují (to už je jen nešťastně pojaté řešení v rámci komerce). Jenže, ať je to jak je to, děravé je všechno stejně - takže i když si někdo na jednu stranu umí zabezpečit svůj systém tak, aby aspoň trochu bezepčený byl, vydává se stejně vždycky všanc čemukoliv co spustí (trocha rýpnutí k OpenSOurce - vy si každý program CELÝ a PEČLIVĚ přečtete a PŘESNĚ se seznámíte s jeho funkcí, než si ho přeložíte? :-) u většiny SW pro Wokýnka si o tom pochopitelně lze nechat jen zdát..)
Výsledek jakékoliv studie se dá totiž vždy interpretovat od jednoho extrémního závěru až ke druhému, takže jediný rozumný závěr je přisuzován myslím panu W. Churchillovi: "Nevěřím statistikám, které si sám nezfalšuji."

> trocha rýpnutí k OpenSOurce - vy si každý program CELÝ a PEČLIVĚ přečtete
> a PŘESNĚ se seznámíte s jeho funkcí, než si ho přeložíte? :-) u většiny
> SW pro Wokýnka si o tom pochopitelně lze nechat jen zdát..)
Ale ved to je ten podstatny rozdiel medzi OpenSource a CloseSource, MAT MOZNOST.
Pri OpenSource mam moznost to urobit, a ked to neurobim ja, najde sa niekto iny kto to urobi, ci uz preto aby si tam doplnil vlastnu funkcnost alebo preto, ze chce vediet ako to funguje.

"Mat moznost" vidiet do kodu je bic na vyvojara, aby v kode nerobil prasaciny, pretoze sa moze najst niekto, kto to vytrubi do siete a tym pokazi meno danemu projektu a teda aj danemu vyvojarovi.

No uprime, nepochybne existuji hry, jejichz zdrojovy kod nikdo peclive neprecetl. No A ? Hry prece nepoustim jako administrator ... jo pockat, ve windows to jinak nejde, hmmm ...

coze ? hry jde pod Windows poustet jen pod adminem ? tenhle nesmysl jste vzal kde ?

No ted uz hry moc nehraju, ale vim, ze jsem nektere hry pod Win XP musel spoustet jen pod adminem. Jinak nejely. Ted mam Win jen kvuli GTA San Andreas a vzhledem k tomu, ze tyto Windows (XP, SP2) pri instalaci ani nenasly sitovou kartu, jsem klidny (nemam duvod ji instalovat rucne) :-D

Tets :-)

Jasne ze to neplati pro vsechny hry, jen pro nektere ... osobne to taky znam jen z doslechu, na mych windows 95 bezi na uroven administratora vsechno (a sitovou kartu nastesti taky nenasly :-)).

Sice bych to nepausalizoval, ale uz jsem to nekolikrat videl. Instalace jenom pod adminem, spusteni pod jinym userem selhalo z duvodu opravneni k programove slozce hry a po uprave opravneni ke slozce to zase neslo proto, ze se user nedostal do profilu admina... Ale z principu je to prasacky napsanym instalatorem, nebo cim. Defacto totez plati pro vetsinu aplikaci pri pouziti `Run As`... (specialne pri instalaci)

Pani ja taku poznam: Hidden&Dangerous....

Pani ja taku poznam: Hidden&Dangerous....

Na jednom pocitaci s Win XP Home Edidion Crippleware se mi nepodarilo rozchodit Live Update Norton antiviru tak, aby jelo jinde, nez pod adminem. A to ani podle blabolu z webu Symantecu. Admina jsem jim na ten ucet nedal a musi se obcas prelogovat pod administratorsky ucet. Tedy neco, co vetsina uzivatelu asi delat nebude a nadeli si radsi admina na svuj bezny ucet.

Maly prieskum medzi uzivatelmi Windows v mojom okoli: z 10 uzivatelov 8 pouzivalo ucest s administratorskymi privilegiami na beznu pracu... A to boli ludia, ktori sa IT zivia, t.j. mali by si byt vedomi rizika, ktore to prinasa. Co dodat...

Uprime, i ja na linuxu pouzivam administratorsky ucet na beznou praci ... ale snazim se to omezit, krome toho jak uz jsem rikal do bezne prace nezahrnuji hrani her - a nezahrnuji tam ani browseni po internetu, ktere mi zabira asi nejvic volneho casu.

Na Linuxu mi prace pod obycejnym userskym uctem vyhovuje. Pod Windows mi to cini znacne problemy. Nebavi mne se prelogovavat kvuli kazdemu prdu. Kdyz potrebuji, na Linuxu mi staci jedna rootovska konsole eventuelne Alt-F2 kdesu ... a je to. Pod Windows si jako admin nepustim ani kontrol panel, leda rovnou prislusne .CPL, pokud vim, jak se jmenuje a kde je. A na to musim mit jiny filemanager, nez Windoze Explorer, protoze pokud bezi jiz jako obycejny user, pod adminem ho jiz nespustim. S tim at se jde Bill vycpat. Prakticke, jak hrabe do postele.

Třeba vám pomůže můj oblíbený postup:
Na ikonu IE na ploše klikněte pravým myšítkem a zároveň držte shift. To Vám umožní spustit IE jako admin a jako URL zadejte "Ovládací panely". A hned můžete spouštět všechny položky jako privilegovaný uživatel.
Jinak mám dobrou zkušenost mít na ploše zástupce souštějící Total Commander jako admin a z něj si pak můžu spouštět vše, co potřebuji, kdy to potřebuji. Taková malá konzola :)

Tak to jsi pekne hovado a nemas se cim chlubit, lamy se cpou do linuxu, ach jo :-(.

Ja se tim nechlubim ja se za to stydim, protoze nejsem zadna lama a nedelam to z pitomosti, ale z lenosti - s mym poctem partition (a uz roztahanych souboru) by alternativa znamenala stravit dost casu zmenou prav. Proto misto toho, abych delal vsechno na uzivatele a administraci na roota (a ze administraci, presneji experimentovanim s ni, stravim dost casu), tak delam na roota i presuny souboru, vypalovani, konverze videa a programovani. Uvazime-li, ze mc a prekladac by na roota stejne bezeli a ze cdrecord byva zhusta setuid root, jsem proti mene linemu administratorovi ohrozen moznosti chyby v mencoderu (a pochopitelne tim, ze na roota napisu vic prikazu a tedy je vetsi riziko, ze napacham nejakou skodu po preklepu).

Uz pekne dlouho jsem na roota nepustil Xka, ne ze by to nebylo jedno, stejne maji setuid ...

A mimochodem, ne ze bych nekomu svoje chovani doporucoval, ale kdyby si vsechny lamy na to, co delaji pod rootem, davali tolik pozoru jako ja, rozhodne by to nebyl duvod ke smutku.

jasne, ja nerikam, ze nejsou hry co potrebuji admina, ale to je prasarna programatoru te hry. S vlastnima Windows to nema co delat. Me jde o to, ze tohle :

>>Hry prece nepoustim jako administrator ... jo pockat, ve windows to jinak nejde, hmmm ...

rict o vsech hrach ve Win je proste do nebe volajici kravina.

Hm, jenze kdyz je tech her dost, tak to jednoho prestane bavit, furt prebootovavat, protoze tahle hra potrebuje admina, tahle ne, tahle zase jo, tahle se chova vubec divne.
Osobne ve svem okoli neznam vubec nikoho, kdo nepouziva adminsky konto.

Na druhou stranu jsem videl jenom jednoho troubu, co se v Linuxu prihlasoval jako root. Druhej je v tyhle diskuzi (abych neodsuzoval: dovedu si predstavit extremni pripad, ze to ma smysl).

Ja taky casto potrebuju roota (dost casto upgraduju, hraju si s nastavenim a tak), ale na to mi staci okno s rootovskou konzoli. Jo, kdyby to slo ve widlich...

Je to o stylu prace. V Linuxu pod beznym uzivatelem pracovat jde, ve widlich ne.

Já jsem taky asi před 5-ti lety používal roota... Ale to jsem přecházel z Winů a a byl to RH 6.0 ...

Presne to jsem mel na mysli - samozrejme ze ne vsechny hry administratora vyzaduji, ale je takovych her hodne -> hodne uzivatelu bezi porad na admina -> programatori her se ani nesnazi napsat je tak, aby se obesli bez admina ....
Navic mam pocit, ze ochrany proti kopirovani by se na uzivatele psali hur.

BTW, uz jsem rikal, ze Xka na roota jsem pekne dlouho nespustil. Po pravde, byt delsi dobu v Xkach, tak si tu praci na roota odvyknu. Jenze ja nektere veci delam na textove konzoli ...

>"Mat moznost" vidiet do kodu je bic na vyvojara, aby v kode nerobil prasaciny,
>pretoze sa moze najst niekto, kto to vytrubi do siete a tym pokazi meno danemu
>projektu a teda aj danemu vyvojarovi.

mno nevim - po shlednuti zdrojovych kodu ruznych open-source balicku, aplikaci, ... jsem dosel k nazoru ze open-source vyvojari jsou prasata ;)

Spousta prasecin vznika diky ne uplnym autorovym znalostem jazyka (nezna nejakou funkci, tak si ji opisne nakoduje z prikazu, ktere zna), tomu se tezko ubranis. Mnohdy je to tak, ze sam autor se pri psani projektu uci dany jazyk, nebo se pokousi proniknout do problematiky tim, ze zaroven vytvari neco smysluplneho. Tedy naprosto nepopiram, ze v open source praseciny jsou (a budou). Ale kdyz se ti naka prasecina nelibi, muzes si to prepsat lepe (a puvodni autor ti bude mozna i vdecny, protoze sam to lepe nakodovat neumel).
Take by mohlo byt zajimave srovnani prave s tema zdrojakama vidli.
Myslim, ze by bylo hodne naivni se domnivat, ze v tech close source projektech praseciny nejsou. Zejmena s prihlednutim k tomu, ze vidle vyviji tym autoru, kteri se mozna ani v zivote nevideli. To se potom nejaka konzistence systemu udrzuje vyrazne hur, takze minimalne bys nasel hromady nesmyslnych duplicit a podobne...

Mezi ty prasacky napsane patri system Mantis na spravu chyb. Je to sice pouzivane ale psalo to fakt nejake prase a divim se ze to vubec chodi.

Uvedom si, o kolik horsi by to bylo kdyby vedeli, ze se do toho kodu nikdo nepodiva ! :-)

Naprostý souhlas. Dnes a denně se s těmito "profesionálními" nadšenci potkávám v zaměstnání.

> (trocha rýpnutí k OpenSOurce - vy si každý program CELÝ a PEČLIVĚ přečtete a PŘESNĚ se seznámíte s jeho funkcí, než si ho přeložíte? :-)

Ne každý, ale namátkou a po částech to dělám. A jak jsete sám přiznal:

> u většiny SW pro Wokýnka si o tom pochopitelně lze nechat jen zdát..)

No, OpenOffice zdrojáky po večerech nečtu, ale programy jako OpenOffice a Mozilla pouštím pod jiným uživatelem, než na kterého jsem v X-přihlášený. Skype věřím ještě méně, takže má vlastní účet, ze kterého ani nevidí moje osobní soubory a je pouze ve skupinách nogroup a audio. Někdy je to trošku nepohodlné, že musím soubor mezi účty kopírovat či měnit práva souborů. Vetšinu adresářů s dokumenty a zdrojáky mám mezi
účtem, na který jsem přihlášený a na kterém běži Mozila a OpenOffice prolinkované. Jak se taková věc udělá pod Windows?

(trocha rýpnutí k OpenSOurce - vy si každý program CELÝ a PEČLIVĚ přečtete a PŘESNĚ se seznámíte s jeho funkcí, než si ho přeložíte? :-) u většiny SW pro Wokýnka si o tom pochopitelně lze nechat jen zdát..)

Toto platí pouze pro nestandardní programy (stáhnuté hry, apod.). Pro paranoiky je řešení pouštění ve vězení nebo také pod jiným uživatelem.

Jinak existuje něco jako podepisování balíčků - téměř každá distribuce to dělá. A je to o důvěře k distribuci či správci daného archivu balíčků.

Psal jsem to jiz na Zive.cz, ale postnu to i sem s drobnymi upravami: Dost zavadejici delat srovnani ze seznamu security bulletinu: 1) Hodne chyb se duplikuje jako updated (po odstraneni je to 672 W :887 U) 2) Porovnava se pocet Windows × Mac OS X+FreeBSD+HP-UX+AIX+Linux+OpenBSD+UnixWare+IRIX+Solaris+mozna dalsi (tj. min 9 systemu) 3) Takove ulety jako chyby v PHPMyAdmin nebo Zope v sekci Unix/Linux Kdyz si toto uvedomite, tak to srovnani vychazi spis opacne...

Jak rikal jeden kolega "hororovy" pribeh. Nakazeny WinNT server. Tak ho preinstaloval. Nez stacil stahnout zaplaty system byl nakazen znovu. Resp po jakemkoliv pripojeni do site sel utocny cerv na jisto protoze mel zaznamenu ip adresu, takze to byla otazka snad doslova sekund. Nakonec to po celem dni nejak vyresili, ale tohle si pamatuju. Rada cervu ma v sobe databazi interesantnich ip adres a jakmile si vas najdou nemuzete doufat ze stahnete zpalatu driv nez na vas zautoci, opak je pravdou.

:-) to museli byt opravdu profici. stahnout si danou zaplatu na jinem PC, nainstalovat ji na tom nove instalovanem serveru a teprve pak ho pustit do site je asi fakt nenapadlo. jestli tohle maji byt argumenty proti Windows, tak to teda potes.

To nebyl argument proti ničemu. To bylo jen upozornění že pokud máte v defaultní instalaci jakéhokoliv systému díru, po které jde nějaký červ, který si vás navíc poznamená v databázi IP, tak máte ale fakt problém.

> :-) to museli byt opravdu profici. stahnout si danou zaplatu na jinem PC, nainstalovat ji na tom nove instalovanem serveru a teprve pak ho pustit do site je asi fakt nenapadlo.

Samozřejmě že napadlo. Ale neznám MS Windows a nepamatuji si podrobnosti do té míry abych je mohl reprodukovat. Ale v té konkrétní situaci to nebylo tak jednoduché.

Sice dělám jen Linux, ale řada přátel jsou Windowsáři. A nejsou to zrovna béčka. A když vím že někde v MS Windows je pěknej průser, vím to zrovna od nich. A nepoužívám to k tomu abych pomlouval, ale abych se inkrimnovanému problému vyhl. Je dobré vědět co nefunguje, protože se pak můžete zařídit tak aby jste ten problém obešel. A to platí pro jakýkoliv systém.

s prominutim, ale napojovat neopatchovane Windows do Internetu je hloupost. Minimum je nainstalovat hned SP2. To je jako kdyby jste na naledi vyjel v aute s letnimi pneumatikami a pak se divil, ze jste nekde dostal smyk a vyboural se.

>s prominutim, ale napojovat neopatchovane Windows do Internetu je hloupost. Minimum je nainstalovat hned SP2.

Omlovám se, moje nepřesnost. Měl jsem blíže vysvětlit, že instalací rozumím samozřejmě i opatchování všemi důležitými patchi. Tak tomu bylo i v tom případě. Příslušný červ ovšem procházel i přes ten poslední patch. A záplatu proti tomu červu bylo problém stáhnout z jiného počítače. Jak jsem říkal nepamatuji si detaily, nebyl jsem u toho a nejsem odborník na MS Windows.

hmm, no jo, u niceho jste vlastne nebyl, nic jste neinstaloval, vsechno vite jen z doslechu, ale pokud chcete pouzit nejaky priklad na to, co se kde stalo spatneho, kam vlezl virus apod., tak napisete Windows. Bravo, jste klasicky zastance Linuxu :-(

Tak nam tu napis, kdy naposledy po instalaci vlezl virus do Linuxu.

nevim, ja s Linuxem ve vetsi mire nepracuju. A nehodlam sirit nejake nicim nepodlozene spekulace typu Jedna pani povidala. Kdyz neco napisu, tak to mam podlozene osobni zkusenosti.

> A nehodlam sirit nejake nicim nepodlozene spekulace typu Jedna pani povidala.

Kdo je ta jedna paní, co jsou ty spekulace. Ten kolega který tento problém řešil sedí asi 4 metry ode mě.

Náčelníku, že se mě nezastaneš.

no tak ať sem do diskuze váš kolega napíše, proč měl tak strašné problémy.

Dane problemy byly dany momentalni situaci u zakaznika a podminkama, za jakych se to instalovalo. V te dobe slo o W2000 server a jedina cesta jak se k aktualizaci dostat a vlastne i cemukolik bylo z tohoto konkretniho stroje pres internet. Bohuzel bylo nutno pracovat s tim co je a lidma co byli po ruce. Ja uz na zacatku rikal, ze pouzivat W2000 server, aby mi delal NAT pro firmu a jeste na nem budou vsechny data neni to nejlepsi. Ale kdo chce kam, pomozme mu tam. Bohuzel v te dobe bylo jako novinka ten virus, co bloudil po netu a napadal RPC (co to ma vubec delat venku :-) ). A takze clovek pripoji a sel dolu, driv nez se stihla stahnout zaplata na cokoliv (at to byl antivirus, system).....holt ne vzdy jsou idealni podminky k tomu delat veci tak, jak by bylo potreba. :-(

dík náčelníku že se mě zastal

jasne, chapu. ale tohle bylo naprosto nestandardni reseni a postup vynuceny podminkami, ktery by clovek za normalnich okolnosti nepouzil. Davat to jako priklad toho jak se chovaji Windows je dost nestastne.

Tak zrovna tohle nebyl vubec problem vyresit; udelalo se to prikazem shutdown /a. Tim se zabranilo po spadnuti rpc restartu serveru a mohl se stahnout patch, kdyz uz neslo sehnat update jinak.

Navic chci podotknout, ze zaplata na RPC se napriklad me vubec nedotknula, protoze byla vydana asi ! PUL ! roku pred danym cervem, takze to jenom ukazuje na to, jaky "profesional" je ten kolega; resit probelem s virem, jenz vyuziva pul roku opravenou chybu reinstalaci a stahovanim zaplaty z internetu; tot vazne profik.

No nevim jestli v dane dobe byla zaplata pul roku pred virem. Ale pokud instalacni medium danou zaplatu nepouziva a ja nemam v dany okamzik jine reseni nez to stahnout z netu, tak je mi to pekne na houby, ze dana zaplata nekde je ke stazeni. :-)

shutdown /a ano, zname :-)

a) ano, byla. Mozna dokonce vice, ale nekolik mesicu to bylo rozhodne.
b) instalacni medium umoznuje pravidelne updatovat, ze to spravce instaluje z kdovijak stareho media je jeho problem
c) zadny system nainstalovany z verze stare nejaky cas neni bezpecny a pripojit jej hned do internetu je totalni hloupost, at jsou to windows nebo linux nebo macos
d) reseni je, popsal jsem je. jenom to predpoklada znalosti a schopnost resit problem, coz se u spravcu linuxu ocekava; zvlastni ze u spravcu windows to neocekavas a svadis to na windows.

Windows si nezaslouží nic jiného, než obviňování za všechny problémy, protože uživatele i správce navádí ke špatnému chování. Připojit zastaralý Linux do internetu není žádná hloupost, pokud nejsou spuštěny žádné děravé služby. Třeba si dost dobře nedokážu představit, že by měl někdo kvůli starší verzi ftp nebo wget nějaký problém. Kdyby to někomu bylo nepohodlné, může si hned třeba Midnight Commanderem stáhnout nový FireFox a dál pokračovat v X, a to s minimálním nebezpečím. ;-) P.S.: U jiných systémů, jako je třeba FreeBSD, by se dalo postupovat stejně.

A jeste bych dodal, zkousel jste ten shutdown /a zadat na Windows 2000 serveru? Co si matne vzpominam, neobjevil se az s WinXP a Win2003 serverem? :-)))) Takze jak to pak udelate, kdyz cmd vypisuje porad dokola, ze shutdown je neznamy prikaz? :-)

jiste, ve windows 2000 ten prikaz neni, ale da se prenest na diskete / flesce / cimkoliv ze stanice s XP nebo z jejich instalacek. Chce to asi vterinu premyslet a trosku flexibility.

Navic to slo jeste jednou variantou, i bez tohoto prikazu. Do nastaveni sluzby RPC dat, do zalozky recovery, ze se po chybe sluzby nema dit nic. To se za dobu odpoctu shutdownu stihnout da a po pristim shutdownu sluzba opet spadne ale stroj zustane jet.

Vidis, dokonce to jde i bez toho, jenom s prostredkama serveru. Ale to nesmi delat klikon, ktery Windows nezna, ze.

psat virus na absoultne minoritni OS kterej pouzivaj ve vetsi mire lidi kteri si ho zabezpeci, je jako sukani jalove kravy. naprosto zbytecne

Nevim, ale mam pocit, ze prave sukani jalove kravy prinasi kyzene ovoce (tedy tele, v tomto pripade). Jalova krava je v podstate panna :-).

Kazdopadne, dobytek nesukam, prijde mi to zbytecne. Ale jestli se vam to libi, tak si v tom pro mne za mne pokracujte ...

No on vas Micro$oft ani ke stahnuti nekterych zaplat nepusti, pokud tam nejdete z Windows (navic te spravne verze). Zkuste si treba z Linuxu stahnout posledni roll up nebo jak se to jmenuje pro Windows 2000. Mozna znate nejaky spek, jak na Linuxu oblafnout ten jejich genuine windows test?

Dobry den, zrovna stahuji W2kSP2SRP1.exe na pocitac, kde bezi FC4 a Firefox. Takze to nejspis pro W2k nebude tak horky. Pravda jede to jen kolem 9 KB/s.

Microsoft se tomu dost brání. Chce mít os vých ovečkách přehled. Kdyby bili rozumní, umožnili by jenoduchou cross-instalaci ze Slaxu či jiného live-CD a jen by tím svým neštastným uživatelům pomohli.

Podívejte se na stránky projektu Unattended, který se snaží i přes všechny překázky klientům Microsoftu zdarma pomoct

http://sourceforge.net/projects/unattended

Kdyby ta firma jen trochu za něco stála, tak bude takový projekt podporovat a dohodne se snimi jak to dělat co nejlépe. Jim ale nejde o zákazníky, ale o vládu nad světem a jeho bohatsvím.

Tak to vas ma Bill asi rad. Ja se tam neproklikal a musel jsem usednout ke stroji s W2k. Jinak je znamo, ze od jiste doby jsou updaty jen pro registrovane uzivatele. Napr. na W XP, tusim i SP 2. Takze si je zkuste stahnout z Fedory, abyste si mohl zalepit Windows, nez je pustite na Internet. :-)

Microsoft update v nynějším podání opravdu nabízí jen relevantní updaty, ale nebylo tomu tak vždycky. Ve Windows 95 jste si mohl stáhnout cokoli a musel jste si sám hlídat verze (1. vydání/OSR2 a jazykové verze), jinak jste mohl skončit špatně. K současnému pojetí automatizovaného výběru záplat se Microsoft dopracoval až ve Windows 98. Původní služba Windows Update byla v průběhu jednoho virového útoku mimo provoz, protože čelila útoku DoS. Jedinou možnou rychlou odezvou bylo přejmenování serveru služby.
Problém je, právě pokud potřebujete "předzáplatovat" počítač, který bude připojen na Internet. Vhodné soubory a postupy jsou skryty v informacích pro administátory a tak méně zkušení uživatelé nemají šanci systém řádně záplatovat před připojením na Internet. Naopak Microsoft tlačí laické uživatele k tomu, aby i pro počáteční záplatování používali Microsoft Update. To ale může uspět jen v zabezpečené síti. Pokud máte počítač někde mimo, kde není druhý počítač, jste odborník-neodborník: v pěkné bryndě. To abyste si s sebou stále nosil vlastní firewall. Tato koncepce je přijatelná pro korporátní zákazníky, ale velmi nevýhodná pro individuální uživatele.
Podle mne je také vyloženě nesmyslný přístup, kdy Microsoftem nabízené CD (i jako image na serveru) se shromážděnými updaty pro určitou platformu je hrubě zastaralé.

spis nez instalovat SP2 (co taky doporucuji!) je dulezitejsi nainstalovat kvalitni firewall (ne ten z WinXP), a nastavit ho velmi striktne, pustit ten pocitac jenom na windowsupdate... a az pote zasunout kabel, opatchovat, nainstalovat antivir, prescanovat ... a pak zacit hejbat s konfiguraci firewallu smerem k normalu.

No osobne bych s tim SP2 tak nepospichal. Zalezi co na tom stroji pobezi. Jsou veci, ktere po instalaci SP2 prestanou chodit (napr. nastroje diagnostiky site aj., ktere pouzivaji RAW pakety....to se pak clovek divi, proc to nejede....on je totiz M$ vyhodil z TCP stacku v SP2 ven).....to jen tak naokraj :-)

Většina rozdílu v číslech počtu bezpečnostních děr bude také z důvodu, že u open source lze přečíst jak to funguje a snáze najít chybu a tu pak reportovat popřípadě rovnou opravit a reporotvat opravu. U uzavřeného kódu se chyby hledají spíše pokusem a tak jich v něm ještě mnoho zbývá skrytých a neobjevených.
Ješte co se bezpečnosti týče, kdyby to s Linuxem bylo tak zlé, proč by Microsoft ve svých nových Windows Vista začal používat zvyklosti a funkčnosti z Linuxu?

Většina rozdílu v číslech počtu bezpečnostních děr bude také z důvodu, že u open source lze přečíst jak to funguje a snáze najít chybu a tu pak reportovat popřípadě rovnou opravit a reporotvat opravu. U uzavřeného kódu se chyby hledají spíše pokusem a tak jich v něm ještě mnoho zbývá skrytých a neobjevených. Jo mate pravdu, na Linux zase neutoci XXX hackeru denne a neexistuje pro nej XXX viru. A nepouzivaji ho v masove mire "normalni uzivatele" a uz vubec neni tak rozsireny. Nevim, kdo najde vic chyb...

článek Why Linux Is More Secure Than Ever - odkaz na dnešních Crypto-News. Věřím, že ten člověk ví o čem mluví.

Mna len zaraze jedna vec, vsetci tu operuju tym ze lin ma kopec distribucii. nejak nechapem co to ma s tym spolocne ??? alebo to bezi na "rovnakom" zaklade a tym padom je to vzdy le Linux/unix a absolutne nezalezi ako sa to vola, alebo to je rozdielne a tym padom to nieje zaradene v danej kategorii. tak neviem o com tu stale tocite... :)))

Vaše tvrzení by platilo v případě, kdyby se všechny chyby týkaly toho, co mají linuxové distribuce společné - linuxového jádra. Ale pokud se podíváte na ten seznam zranitelností, zjistíte, že linuxového jádra samotného se týká pouze cca 12 unikátních zranitelností, a vzhledem k tomu, že v každé distribuce máte jinou verzi jádra, nelze konstatovat ani to, že se těch 12 zranitelností týkalo všech uživatelů GNU/Linuxu.

Ostatní zranitelnosti se týkají konkrétních balíčků v různých verzích, a to je místo, kde se linuxové distribuce jedna od druhé liší ještě více. Kolega tu říkal, že jeho distribuce Gentoo se týkalo 307 bezpečnostních oprav za stejné období, ale jeho systému se týkalo cca 7 zranitelností.

Navíc musíme připočítat i fakt, že do toho obrovského čísla jsou započítávány i zranitelnosti jiných unixových systémů a jejich vybavení. Množství distribucí zmiňujeme proto, že GNU/Linux je heterogenní systém, každá distribuce je jiná, má jiné verze linuxového kernelu, jinou sadu balíčků i jejich verzí. Takže zatímco se ta obrovská čísla týkají všeho dohromady, dokonce i jiných unixových systémů, konkrétních distribucí a konkrétních uživatelů se týkají čísla nepoměrně menší. To je důvod, proč vznikl tento článek a přesně toto se snaží říci.

Dodejme snad je. Kdo se bude babrat s vytvarenim viru na balicek xxxx-lib-4.1, kdyz ho tuto knihovnu pouziva 20% Linuxaku a to jeste z 99% v jine verzi?

Takova bespecnostni chyba sice existuje, ale je naprsoto nepodstatna pro site vyzadujici beznou bespecnost (samozrejme ze ne banky atp.).

I z toho pohledu je Linux nekolikanasobne bespecnejsi nez Windows.

to je sice vsetko pekne ale to iste plati v urcitej miere aj pre win, tiez existuju rozne verzie, takze nechapem preco ten jednostranny meter :)). dalsia vec co sa mi vidi velmi vtipna je umiestnenie ankety "ktory systemje bezpecnejsi" na root.cz, co myslite aky vysledok by sa dal cakat keby sme tu istu anketu dali na microsoft.com ??? ma vobec take nieco realne opodstatnenie ?? asi nie tak ako tato diskusia......

To není až tak pravda. Protože jedna společnost nemá sílu vše překompilovávat a dodávat v různých buildech pro různé verze systému => pokud máte program dané verze a víte že má buffer overrun, víte, jaká jsou vstupní čísla většiny funkcí k hacku vhodných DLL a kde je která funkce programu. Většina programů řesí přenositelnost tak, že do systému nahraje novější verze DLL (nebo třeba celý systém jako v případě WIN32S v minulosti), která nějak základ upraví pro činnost programu napsaný proti poslední verzi API. Na Win XP, pokud se nemýlím, tak tento obecný systém nekotrolovaného upgradování systému aplikacemi nahradili tím, že se používají DLL přinesená s aplikací.

Na Linuxu sice bude mít program stejné verze třeba shodný buffer overrun, jenže je pokaždé skompilovaný na jinou adresu a jinak optimalizovaný. Utočník musí znát všechny tyto parametry. Co se týče knihoven, tak na rozdíl od Win nemají většiniou předdefinovanou defaultní počáteční adresu, takže někam záměrně do knihovny skočit je dost problém. Poslední bezpečnostní vylepšení mapují knihovny v každém procesu na jiné náhodné adresy, takže i když přes probe program určíte verzi a umítění, tak po přípravě útoku na daný setup zjistíte, že služba nově spuštěná z inetd teď má knihovny rozložené jinak. Jediné co vám zbývá, je z overrunu volat přímo služby jádra a ty jsou celkem omezené a dobře kontrolované velkým množstvím očí. Zároveň Linux již dlouhou dobu může využít non-exec stack, takže overrun nemůže být použit k podstrčení kódu a musí obsahovat pouze parametry a návratové (skokové) adresy do nějaké knihovny a nemůže přímo volat jádro. Tuto výhodu teď trochu ruší linux-gate.so, které umožňuje zrychleně volat jádro přes well-known adresu.

to je sice vsetko pekne Děkuji. pre win, tiez existuju rozne verzie Ano, tak zhruba 5 aktivně podporovaných verzí MS Windows. GNU/Linux ale existuje v podobě 350 aktivních a registrovaných distribucí, to je podle mne veliký rozdíl. Další rozdíl je v tom, že MS Windows ke svému systému přibaluje minimum programů, takže zranitelnosti, které se počítají pro MS Windows, sledují převážně těch několik málo programů, co máte v defaultní instalaci od MS. Srovnejte to třeba s Debian GNU/Linuxem, který má 15490 balíčků. Potíž je v tom, že vzhledem k tomuto nepoměru není možné srovnávat absolutní čísla, která nám studie poskytuje. Navíc studie hází do jednoho pytle GNU/Linux s Mac OS, AIX a jinými unixovými systémy.

Spravny nadpis by tedy nemel byt "win jsou 4x neco" ale
"Windows obsahuji ctvrtinu vsch chyb"
:)

nie nie nie :) spravne tam ma byt obsahuju 1/5 chyb :)

Problém bezpečnosti a děr v systému není problém Windows, Linux, OS, ... Je to daleko hlubší problém a jeho jádro tkví v něčem úplně jiném. Pokud pochopíte pravou příčinu pak Vám za daných okolností přijde "nebezpečnost" MS Windows jako logický důsledek. Ještě jednou opakuji za daných okolností. Jméno té bestie, pravé příčiny zní:

MONOKULTURA

A proti tomuto démonu a příčině mnoha zel je jediná obrana. Rozmanitost.

A protože Linuxových distribucí je řada, a v řadě aspektů se liší, .... prostě se na to podívejte takto. A hned Vám bude jasné že pokud bych vyhlásil jednu konkrétní distribuci Linuxu za svatou, dostal bych se do problémů.

Někdo může, a to oprávněně, namítnout že chyby v OSS jsou opravovány rychleji a že jej jich míň. Má pravdu. Ale to nemění nic na principu, to jen zmenší riziko/pravděpodobnost.

Představte si jednu svatou verzi toho nejbezpečnějšího co si jen dovedete představit. Je nasazena po celém světě a každý ji používá. Co je vám platné když je bezpečná. V dnešní době stačí jedna jediná chybka, jedna jediná chybka, a maligní kód který ji dokáže využít. Po předběžné přípravě může během nekolika doslova minut infikovat celý net.

To je uplne stejne, proc se vysazuji smisene lesy oproti jednodruhovym :-) :-) :-)

jo s tim souhlasim. Takze aby se to dalo dokazat, shodnete se ted vsichni Linuxaci na jedne jedine distribuci, kterou bude pouzivat aspon 90 procent lidi, co ma Linux. Tim date jasne znameni tvurcum viru, ze ma cenu zacit se snazit hledat diry a psat viry. Myslim, ze byste tim mozna ziskali i nejake uzivatele, protoze kdyz budou mit vsichni jeden Linux, bude ho snazsi pouzivat, knizni nakladatelstvi vytvori prirucky pro obycejne uzivatele. A nastane rozkvet Linuxu. Mozna i vyrobci HW busou pro vas jednotky Linux psat ovladace. Akorat tak za rok, dva budou v diskuzich trochu jina temata a pribude pracovnich prilezitosti, protoze antivirove firmy zbohatnou na antivirech pro tuto vsude rozsirenou distribuci.

:-)

Já mám pocit, že pravdivost tohoto tvrzení netřeba dokazovat - příroda je jeho nejlepším důkazem. Viz lesní analogie pana kolegy výše. Opravdu nevidím důvod, proč bychom se měli přizpůsobovat vašim požadavkům, abychom vám dokázali to, co je, dle mého, naprosto očividné.

Když přimhouřím oči, tak máte v podstatě pravdu. Ale jedna jediná svatá distribuce Linuxu je něco co nám s vysokou pravděpodobností nikdy hrozit nebude. Ono ani když se výrobci shodnou na nějaké hlubší standardizaci distribucí, tak to neznamená že budou všude stejné verze programů. A to je oč tu běží. Bylo by to na delší vysvětlování a ne jen na tento příliš dlouhý příspěvek do diskuse.

Když to pochopíte tak víte že Microsoft svůj boj nemůže nikdy vyhrát. Nemuže mít podstatný podíl na trhu v jednom jediném systému, po dlouhou dobu. I kdyby jej nějak získal, což se mu z významné části podařilo, přirozená reakce prostředí začne monokulturu likvidovat. Je úplně jedno jakým způsobem, mechanismů je víc. Základem této obrany je samotné přežití. Monokultura vede v principu k smrti. Důležité je přežít to umírání monokultury. Protože čím větší podíl má jeden druh, tím hroznější jsou následky jeho pádu. Podívejte se kolem sebe. Všude kde je rozsáhlá monokultura, začnou se objevovat "choroby" specializované na tuto monokulturu.

Nemám v tomto oboru formální vzdělání, takže nemohu svá tvrzení podepřít žádnými citacemi a odkazy na odbornou literaturu, ale stačí se rozhlédnout kolem sebe. Svět je plný příkladů monokultur všeho druhu a počlivě sledujte zákonitosti těchto dějů. Monokultury jsou časované bomby. Jsou to nášlapné miny které čekají na náhodnou aktivaci která zákonitě v konečném čase musí přijít.

Ano velmi dobře si uvědomuji důvody proč vznikají umělé monokultury. Vždyť ono je tak snadné udržovat velké množství identických (doplňte), ono je tak snadné pro uživatele když jsou všechny počítače pro ně "stejné", ale podívejte se na tu hroznou cenu kterou za to zaplatíte.

Ano monokultura je pohodlí, ale je to pohodlí za něž ve svém zavěru zaplatíte životem. A to vlastním životem. Pokud jste schopen dohlednout konce věcí, tak to uznáte. Abyste mi rozuměl nemyslím že vás MS Windows zabijí, ale jde o princip monokultury. Princip jenž vyhrocen do extrému vede i k fyzické smrti jedince.

P.S.: Ne, nepředstavuji si svět IT, jako že budou všichni používat stejný OS. Ale představuju si že se "dohodneme" na splečných datových formátech, a dokument který Vy připravíte na svém počítači já bez problémů otevřu u sebe, přečtu upravím pošlu Vám a Vy jej zase bez problémů otevřete a přečtete. Přičemž každý z nás bude používat ty svoje programy a nástroje.

no cele to je o statistike a ta sa da zhrnut do jednej vety, "dajte mi cisla a povedzte aky chcete vysledok...." takze je zbytocne tu nieco rozoberat. a nete som nasiel asi 5 clankov ktore rozoberali tuto istu zalezitost a vsetky boli v prospech win. takze koko ludi..... :)))

a pozrel sa niekto na to, kolko z tychto chyb bolo v akom case vyriesenych?
pretoze predpokladam, ze vacsina tych *nixovych chyb bola odstranena v najkratsom case, zatial co wokenicove chyby mozno nie su odstranene doteraz.
proste slusne skreslena statistika

Chcem poznamenat, ze v blizkej buducnosti bude chyb v GNU/Linux pribudat a to hlavne preto, ze sa kazda aplikacia snazi byt "user friendly". Nie je to zle, ale programatori jednoducho (samozrejme nie vsetci) zacinaju davat vacsiu prioritu mnozstvu efektov a zjednoduseni, ale na bezpecnost vela casu nie je. S toho dovodu je (myslim) nezmyselne hovorit ci je nejaky OS lepsi ako druhy. Jednoducho: "Aky admin, taky system". Dobry admin si ustrazi aj neposlusne ovecky..

Dobry admin si ustrazi aj neposlusne ovecky..

To zni sice hezky, ale je to absurdni. Lidi chteji pocitac zapnout a pracovat... pardon, bavit se, a ne se stourat nekde v nastaveni. A jak napsal nekdo drive, staci jedina chyba, a muzete se jit i se svymi skvelymi znalostmi vycpat... tedy pardon, pustit do preinstalace ;)

Nuz pravda je taka, ze ked pouzivam Linux (napr.Debian), neriesil som ani jeden bezpecnostny/virusovy/atd. problem...
Co o win(xp, 2000, ...) platforme sa neda povedat...

1.) Modifikovatelností
2.) Cenou
3.) Rychlostí zalepování děr
4.) Rychlostí zpracování dat Serveru

No je to špatně asi je jich víc zpráva je neoběktivní.

S pestrosti je to trochu jinak, viz globaizace.
Smisene lesy se prosazuji u nas, existuji predpisy o minimalnim podilu tzv. melioracnich a zpevnujicich drevin atd, aniz by konkretni cisla mely skutecne vedecky zaklad - opravdu vim o cem mluvim. Na druhou stranu je pravda, ze ekosystemy s malou druhovou rozmanitosti jsou mene stabilni. Likvidace (vymirani) druhu je celosvetove a podle nekterych odhadu ma poklesnout druhova rozmanitost do konce stoleti o 50%, coz je samozrejme pru.er. Nicmene k tomu dochazi bez ohledu na nasledky.
Ke globalizaci take dochazi bez ohledu na nasledky. Velci rostou a mali maji stale mene prostoru k zivotu. Az se omezi presprilis, druh/aktivita/firma zanikne. Bez ohledu na nasledky.
Takze z ciste prirodnich zakonitosti (a ekonomicke zakonitosti jsou jen jinou sortou prirodnich zakonu) dochazi k snizovani ruznosti s konecnym vyhledem na ukonceni pokusu zvany zivot. At uz se to vymirajicim druhum libi nebo ne. Toz tak.
Linux zatim nevymira, jedu na nem taky (podporuju ruznorodost ve vsem), ale z dlouhodobeho hlediska ho neceka jiny osud, nez rostouci problemy (lidske, ekonomicke, pravni atd) Nakonec dojdou zastanci ke zjisteni, bojuji proti systemu (nemyslim tim OS, ale spolecnost/prirodu) a boj ztrati smysl.
Trochu cerne, obavam se vsak, ze realita nebyva bila.