Vlákno názorů k článku Stavíme mailový server: instalace od Creator - Já jsem tedy na tuhle debatu moc malý...

Já jsem tedy na tuhle debatu moc malý pívo, ale zajímalo by mě něco jiného - čistě ze zvědavosti. Existuje OS, který je tak dokonalý, že se nedá z netu hacknout (nebo ho aspoň dodneška nikdo nahacknul)? Myslím samozřejmě případ, kdy je správce systému na úrovni a neudělá nějakou hloupou chybu v zabezpečení.
P.S. Odpovědi typu "hacknout se nedá systém, který není připojený k Síti" neberu :-)

System bez chyb neexistuje. Jedine, co muzete udelat, je ignorovat sit, pak vas pres ni nekdo tezko hackne :). Ono je to taky to tom, ze cim vic toho na serveru bezi tim hur se to sleduje, vcetne bezpecnostnich der.

Ale takovy system asi opravdu neexistuje. Muzes pouzit jen to co ma k idealne bezpecnemu systemu nejblize a to je OpenBSD.

"idealne bezpecnemu systemu nejblize a to je OpenBSD."

To je absolutni nesmysl (a i kdyby misto OpenBSD byl uveden jiny OS). Jednak zalezi na konkretni situaci, takovy vyrok v uplne obecnosti nema smysl.

Btw "bezpecny operacni system" ma spis dva vyznamy
- jeden, kdy to souvisi s pojmy jako "pocet der za rok" nebo "dostupnost exploitu" nebo "dostupnost zaplat" a obecne "dobra implementace
- druhy, kde to souvisi s pojmy jako "formalni model bezpecnosti", "MAC", "CC" a pod.

V bezpecnosti prvniho typu je na tom dobre spravovany OpenBSN system mozna malinko lepsi nez treba dobre spravovany FreeBSD system.

Bezpecnost druheho typu je IMHO "ta dulezitelsi" bezpecnost, a OpenBSD je v ni z rozsirenych BDS/GNU OS zdaleka nejhorsi.

Kdyby Vas to tema zajimalo, hodte si do Googlu treba "trusted os", "trustedbsd", "kernel security modules", "rsbac", "eros os".

Nevim jak jste k tomuto zaveru dosel, nicmene zde se asi neshodneme. Dle meho nazoru je v soucasnosti OBSD opravdu ten nejbezpecnejsi system (vseobecne vzato) jaky je volne k dispozici. Neopiram se pouze o svuj nazor ale take o nazory mnoha studijnich praci.
Ovsem co me tyce, nevyhovujici je podle me i Unix jako takovy vcetne "klonu" Linuxu apod. Problemem je, ze ani jeden z techto systemu nebyl nikdy primarne zameren na bezpecnost nebo se ni prilis nezaobiral.
Dle meho nazoru je nacase vytvorit uplne novy system na kompletne novem zaklade, ktery bude splnovat vsechna kriteria bezpecnosti, spolehlivosti a vykonosti. Neni preci mozne jeste v tretim tisicileti neustale cerpat ze zdroju 20 a vice let starych.

Začal bych tím, že se zahodí kolo -
tak je to stará vykopávka :-)

O bezpecnostnich navycich ted pisu clanek do Softwarovejch novin a taky ted bude ode me v Linux+ neco o firewallech, v obou z nich dohromady je podrobnejs rozepsano to, ze nasleduje.
Obecne se da rict, ze pokud nepotrebujes na svou masinu zvenku (vetsina BFU nepotrebuje), tak proste postavis paketovej filter, co vsechno zvenku, co nepatri k zadny konexi navazany zevnitr, zahodi, a vis, co Ti pak muzou :)
Pokud ses za maskaradou, taky na Tebe nikdo krom vnitrni site nemuze.
Nejvetsi pruser jsou uzivatele, jejich blby navyky a snadno uhodnutelny hesla. Jakmile povolis byt~ i jen kousicek (jen ssh zvenku) a zalepujes diry jak blazen, vzdycky se muze stat, ze nakymu blbymu uzivateli utece heslo (protoze ma treba stejny na vic masinach nebo se loguje PerMviodkud) a v tu chvili Ti bezpecnost OS je na nic... (samozrejme na rozumne udrzovanym systemu da hackerovi daleko vic prace povysit z uzivatele na roota, ale uz ma podstatne lepsi moznosti, nez kdyby byl uplne venku).

Trochu bych ti oponoval - "pokud ses za maskaradou, taky na Tebe nikdo krom vnitrni site nemuze" - takhle jednoduse napsat nejde.

Prakticke moznosti utoku na pocitac zahazujici prichozi spojeni, avsak vyuzivany k nejake praci - see
http://www.krypta.cz/articles.php?ID=128

No dobry, ale za to uz nemuze system, ale blbec uzivatel :) (tedy to, co ja neustale propaguju :)). Ja osobne maily ctu nalogovanim via ssh na vzdaleny server a web pouzivam jen omezene na selected mnozinu stranek, navic muj browsic o sobe prohlasi, ze je "Frigidni sestra", a jinak nic (OK, kazdemu je pak asi jasne, ze to je Links :)).
Ale nebudu nikoho vyzyvat, at mi hekne masinu, protoze otevreny porty na ni jsou, takze se rozhodne nechova podle schematu dokonale bezpecneho pocitace :)

Rozhodně, bez uživatelů by počítače byly mnohem bezpečnější :))

U toho co popisujes staci ovladnout ten vzdaleny server a pockat si na diru v ssh klientu.

Uplne idealni by bylo napsat si vlastni OS a vsechny programy co budes pouzivat... kdyz ho nedas nikomu jinemu dost tim snizis riziko (uspesneho) napadeni...

A ikdyby se ti tam nekdo prolamal, tak se v tom stejne nevyzna... :)

No,

kdyz uz se hleda opravdu bezpecne reseni, vetsinou to nebyva na unixove bazi. Jako die-hard VMSak samozrejme odkazu na OpenVMS (klidne vystavim na internet neopatchovanou defaultni instalaci, pokud si nekdo chcete zaradit :-)), ale i IBM mainframy jsou na tom dost slusne..

U tech unixu je to tezke, ale obecne plati, ze pokud spravce patchuje a stara se, je jedno, na cem bezi. Kdyz nepatchuje, nejaka remote dira se casem vzdycky najde a potom uz je to jen otazka schopnosti/motivovace utocnika, nez se k rootu prokouse :-))

NO FLAMES, pouze vyjadruji svuj nazor!

Woland