Vlákno názorů k článku Bezpečnostní záplaty GrSecurity už nebudou k dispozici zdarma od asdf - Co přesně znamená 'platící zákazníky'? Znamená to že...
-
asdf (neregistrovaný)
Co přesně znamená 'platící zákazníky'? Znamená to že distribuce (třeba Alpine a SubgrapsOS) je nebudou moci distribuovat v základní instalaci?
Moc se v hardened nevyznám, ale opakovaně jsem slyšel od OpenBSD vývojářů, že Linux je v bezpečnostních mechanismech až příliš laxní. Jak jsou na tom OpenBSD/FreeBSD v porovnání s GrSecurity?
-
Ondra Satai NekolaZlatý podporovatelMam podobne reseni, takze opet nazpatek na prvni policko...
Nastesti mne nelimituje CPU, takze ve hre zustava trebas Qubes.
OpenBSD nepodporuje, AFAIK, MAC, takze jako nahrada za GrSecurity to moc neni.
-
Adam KaliszStříbrný podporovatelJsem si docela jistý, že OpenBSD na Maců pojede: https://superuser.com/questions/528733/installing-openbsd-on-mac-mini-core-i5 někde na undeadly byla zmínka o zprovozňování i na Macboocích.
-
Palo (neregistrovaný)
Ano, a koli tomu ti do systemu nainstaluje SUIDovanu binarku pre ROOTa (chrome-sandbox). Kto vie co v nej je. Mozu si tam pod rootom spustat co len chcu. Takze security urobena tak ze musis DOVEROVAT GOOGLU sa mi velmi nepaci. To radsej nech to bezi pod mojim ID a bez potreby takejto feature.
-
Na Ubuntu by řekl, zkus to s LXD. To žádnou podporu na straně CPU nepotřebuje. Plná virtualizace to sice není, ale izolace jmenných prostorů spolu s omezeními pomocí AppArmoru a SecCompu nabízí přinejmenším stejné zabezpečení proti nepřátelskému kódu, jako GrSecurity a firejail. Jestli to ale funguje na Archu, to nevím.
-
KateStříbrný podporovatel
Buď je LXD v AUR, nebo se dá použít nspawn https://wiki.archlinux.org/index.php/Firefox/Tweaks#Run_Firefox_inside_an_nspawn_container
-
S tvrzenim o "prinejmensim stejnem zabezpeceni" bych byl opatrny. Grsec se hodne zpusoby snazi zabranit exploitnuti jadra. Namespacy jsou dost komplexni a jak pred par lety rekl Andy Lutomirski "if they're off you have a security problem, if they're on, you may also have a security problem" - snad je to dneska uz v lepsim stavu :)
-
Částečně je to pravda. Linux má skutečně tendenci věci řešit po microsoftsku: masivní inženýring a milion komplexních featur, kterým málokdo plně rozumí. Naproti tomu přístup OpenBSD, tj. mít co možná nejjednodušší a nejprůhlednější kód, aby bylo možné ho snadno auditovat, je sice lákavý, ale současně znamená, že OpenBSD nikdy nebude tak všestranný OS, jako Linux. Co je lepší záleží na konkrétních požadavcích.
Namespacy sice měly řadu porodních problémů (podobně jako jaily ve FreeBSD) ale v zásadě se to vyřešilo. Dneska se používají tak často a tak široce, i pro bezpečnostně kritické úkoly, že osobně neváhám k nim mít důvěru. Nějaký 0day se samozřejmě nikdy nedá vyloučit, ale totéž platí i o GrSec.
