Fórum Root.cz

Hlavní témata => Windows a jiné systémy => Téma založeno: oss 08. 07. 2022, 10:25:23

Název: Skusit BSD?
Přispěvatel: oss 08. 07. 2022, 10:25:23
Ahojte,
ti co pouzivate BSD, tak pre co?

Rozmyslam si nejake BSD-cko skusit.
Název: Re:Skusit BSD?
Přispěvatel: robin martinez 08. 07. 2022, 10:34:22
(http://s3.amazonaws.com/pix.iemoji.com/images/emoji/apple/ios-12/256/thumbs-up.png)
Název: Re:Skusit BSD?
Přispěvatel: _Tomáš_ 08. 07. 2022, 12:35:29
používám openBSD a freeBSD (headless, s desktopem zkušenosti nemám). A proč to zkusit? Přehlednost, čistota, jednotnost, man page na vše, dlouhodobě stabilní chování (žádné revoluce co ccca 10 let jak na linuxu).

Pracovně používáme hodně RHEL, tam má pocit, že každé 3 roky se učít od nuly, kolik tam je nových věcí, tajných zákoutí a přepsaných aplikací, to u *BSD se mi nestává, ta konzistence mezi verzemi je obrovská.
Název: Re:Skusit BSD?
Přispěvatel: Tomáš G. 08. 07. 2022, 13:46:36
Z rodiny BSD mám macOS na MacBooku ;), ale moc mi ten systém k srdci nepřirostl. Linux mi vyhovuje víc.
Název: Re:Skusit BSD?
Přispěvatel: _Tomáš_ 08. 07. 2022, 20:52:32
Z rodiny BSD mám macOS na MacBooku ;), ale moc mi ten systém k srdci nepřirostl. Linux mi vyhovuje víc.

to už bych tak ani nenazýval, Apple tam nenechal kámen na kameni a dneska je již jeho systém (Darwin) hodně vzdálený, co taky po 22 letech vývoje čekat.
Název: Re:Skusit BSD?
Přispěvatel: buldr 09. 07. 2022, 04:25:35
Ahojte,
ti co pouzivate BSD, tak pre co?

Rozmyslam si nejake BSD-cko skusit.

Přirozeně FreeBSD představující dlouhodobě spolehlivý, stabilní, jednoduchý a udržovaný systém. Tedy přesný opak divočiny jménem Linux, který je tak dynamický (čti divočina), že na dokumentaci nesáhli od roku 2002 (kuriozita, ale s udržovanou dokumentací se svět Linux nepáře). Zkrátka FreeBSD zůstává stále stejné, jednoduché a nepodléhá módě a směřování podle momentálního větru války mezi distribucemi. Rýpnout jsem si do tučnáků prostě musel.

Pro firemní potřeby nasazuji společně Windows Server 2019 (doménový řadič - ADDS), Exchange Server, ... jako řešení pro plně redundantní škálovatelné úložiště se vzdáleným zrcadlem (10 GHz uzel s přímou viditelností cca 320 m), tedy mezi dvěma budovami pro případ vykradení, nebo vyhoření jedné z budov nepřijdu o firemní data. Naučit se zálohovat s paranoidním přístupem vzniklo z bolestivé zkušenosti. K tomu patří i dlouhodobé zálohování a archivace s automatizací páskové knihovny, respektive skoro automaticky, protože pásky musím měnit ručně. V podobném duchu slouží i doma, včetně jailů s řízením plynového kotle, termostatů topení, nebo sledování hladiny v zavlažovací studni. Taková soukromá hračka, kam jsem si svedl všechny postavené řídící jednotky a pohodlně mohu nastavovat co potřebuji.

Několikrát jsem narazil na HW chybu, kterou Linux/Windows vůbec nezaznamenal, BSD řvalo okamžitě. Jestli používá jiné časování, sekvence, ... po dlouhém testování (většinou v servise, jako bacátko na servis Dell) se chyba vždy potvrdila. Taktéž jsem si všiml lepších výsledků a méně problémů s řadiči Areca v kombinaci se šifrovanými disky (Ultrastar), které používám dlouhé roky a se síťovkami Mellanox - přenos do nového železa.

Název: Re:Skusit BSD?
Přispěvatel: registrovany123 09. 07. 2022, 18:57:48
Ja BSD zkousel 2x a vzdycky tam byly nejake issues s podporou ruzneho hw. Za me Debian Stable, s tim jsem mel vzdycky zdaleka nejmene problemu.
Název: Re:Skusit BSD?
Přispěvatel: František Ryšánek 09. 07. 2022, 19:09:23
Taktéž jsem si všiml lepších výsledků a méně problémů s řadiči Areca v kombinaci se šifrovanými disky (Ultrastar), které používám dlouhé roky a se síťovkami Mellanox - přenos do nového železa.

Toto mě zajímá, a vysvětlivku jsem nepobral... nešla by ta zkratka prosím trochu rozvést? :-)
Název: Re:Skusit BSD?
Přispěvatel: František Ryšánek 09. 07. 2022, 19:25:25
Obecně po BSD lze sáhnout např. v rovině bezpečnosti - pokud se chcete vyhnout monokultuře (do kteréžto kategorie i Linux už nějakou dobu může spadat).

Tradiční rysy tří variant svobodného BSD:

OpenBSD: krutopřísně bezpečné, ale podpora pro nový PC hardware může být spíš smutná.

FreeBSD: asi relativně nejbližší náhrada Linuxu, relativně nejshovívavější s uživatelem, relativně rychle přebírá smysluplné technické novoty z Linuxu (před lety třeba SMP), relativně dostupné ovladače pro nově vznikající PC hardware - ale i tady můžete narazit u hodně nového hardwaru.

NetBSD: brutálně multiplatformní / portovatelné. Nejširší paleta CPU architektur. Historicky je z tohoto důvodu relativně populární jako základ všelijakých "embedded" počítačů.

Pokud se týče "podpory nového PC hardwaru" tak jde především o ovladač diskového řadiče a síťovky - případně grafiky, pokud potřebujete grafický desktop, a taky třeba USB HCI. Samotný procesor je obecně bez problému, starší BSD poběží na novějším procesoru. Modulo ovšem věci jako NUMA, big.LITTLE (Alder Lake), tipnul bych postupný vývoj verzí MPS/ACPI/UEFI apod.
Název: Re:Skusit BSD?
Přispěvatel: oss 11. 07. 2022, 07:19:40
A nie je ta bezpecnost zas len o tom (ako pri linuxe), ze to na dektope takmer nik nepouziva?
Lebo kazda linuxova distribucia tvrdi o tom, aka je super bezpecna.

Ja BSD zkousel 2x a vzdycky tam byly nejake issues s podporou ruzneho hw. Za me Debian Stable, s tim jsem mel vzdycky zdaleka nejmene problemu.

Debian ani ubuntu uz nie, to je strasny bordel v balickoch a apt-get mi je vrcholne nesympaticky.
Název: Re:Skusit BSD?
Přispěvatel: Skid 11. 07. 2022, 18:43:49
Pouzivam FreeBSD. Mnoho uz tu bylo napsano, s necim i souhlasim.

Linux desne zdivocel, a to i kdysi konzervativni distribuce typu Debian. To je to co me k tomu dotlacilo. Nic na svete neni pochopitelne zadarmo. Cena za to je tu uz napsana taky, jsou potize s HW z pochopitelnych duvodu.

Jenze to uz je casto realita i u linuxu, ktery treba u meho Dellu paradne blbne snad v kazde distribuci (5414 at jsem konkretni).

Uzil jsem si ale sve napriklad i s Windows (reinstalace win7 tusim) na jednom byvalem notasu (Toshiba Satellite), kdy jsem bez druheho notasu (stazeni ovladace z netu) nebyl schopny zprovoznit interni sitovku. Podle me se teda dneska muzou vyskytnout ty potize s ruznou pravdepodobnosti asi u kazdeho OS.

U FreeBSD komunita o tom vi a maji k tomu svoje stranky, kde neni problem overit, jestli je dany HW kompatibilni, pripadne castecne a nebo pak casto vubec. Je tam i navod jak overit HW ktery neni na seznamu. Pro notasy tam maji dokonce konkretni modely. Jen je nutne pocitat s tim, ze je to vzneseny UNIX a sve uzivatele a HW si peclive vybira :o) Jinak jsem s nim opravdu plne spokojen. Mel jsem to sveho casu i s grafikou, LXDE mi fungovalo nejlepe.
Název: Re:Skusit BSD?
Přispěvatel: SledgeHV 11. 07. 2022, 19:29:32
Nemá někdo zkušenosti s BSD na starém netbooku? Mám tu Asus 900HA, tlačit na to Windows či "velký" Linux je nesmysl, ale rád bych z toho udělal aspoň psací a možná emulační stroj (NES, Atari 2600, ZX Spectrum ...), tak si říkám, že buďto retro Windows 2000, nebo právě experiment s BSD :)
Název: Re:Skusit BSD?
Přispěvatel: nehalem 11. 07. 2022, 21:28:28
Ahojte,
ti co pouzivate BSD, tak pre co?

Rozmyslam si nejake BSD-cko skusit.
Jasne. Kup si Macbook Pro alebo Mac Mini a garantujem Ti, ze uz nikdy v zivote nebudes chciet ziadny iny pocitac. Proste to tak je. A Unix vychadzajuci z BSD mas uz v cene (Darwin).
Název: Re:Skusit BSD?
Přispěvatel: Ink 11. 07. 2022, 21:33:30
Ahojte,
ti co pouzivate BSD, tak pre co?

Rozmyslam si nejake BSD-cko skusit.
Jasne. Kup si Macbook Pro alebo Mac Mini a garantujem Ti, ze uz nikdy v zivote nebudes chciet ziadny iny pocitac. Proste to tak je. A Unix vychadzajuci z BSD mas uz v cene (Darwin).

Mám doma Macbook Pro a prakticky ho nepoužívám. 100x raději cokoli s Linuxem, naštěstí je to ještě verze, která má normální klávesu Escape a nemá butterfly keyboard a podobné nesmysly. Ten systém je super jenom tenkrát, když se chováš, jak chce on, jinak uživateli hází klacky pod nohy.
Název: Re:Skusit BSD?
Přispěvatel: L.. 12. 07. 2022, 06:32:55
Jasne. Kup si Macbook Pro alebo Mac Mini a garantujem Ti, ze uz nikdy v zivote nebudes chciet ziadny iny pocitac.

Měl jsem MB Pro (2020?) jako pracovní počítač. Teď bych ho mohl mít taky, ale nechci. HW má vysoký cool faktor, to je fakt a UNIXový základ systému je fajn, ale jinak je ten OS dost podobný Windows, akorát s jinými f*ckupy.
Název: Re:Skusit BSD?
Přispěvatel: robin martinez 12. 07. 2022, 07:20:01
macy JSOU super. Lidi, co tvrdi opak jsou bud hateri nebo to v hnatach nemeli.
Název: Re:Skusit BSD?
Přispěvatel: Ink 12. 07. 2022, 07:39:49
macy JSOU super. Lidi, co tvrdi opak jsou bud hateri nebo to v hnatach nemeli.

Aha, takže všem vyhovuje JEDNO auto, JEDNA značka bot a JEDNA hudební skupina. Díky za poučení.
Název: Re:Skusit BSD?
Přispěvatel: oss 12. 07. 2022, 08:36:18
macy JSOU super. Lidi, co tvrdi opak jsou bud hateri nebo to v hnatach nemeli.

Aha, takže všem vyhovuje JEDNO auto, JEDNA značka bot a JEDNA hudební skupina. Díky za poučení.

Ved to je jasna satira :D netreba sa hned trigrovat.
Název: Re:Skusit BSD?
Přispěvatel: Ink 12. 07. 2022, 08:40:59
macy JSOU super. Lidi, co tvrdi opak jsou bud hateri nebo to v hnatach nemeli.

Aha, takže všem vyhovuje JEDNO auto, JEDNA značka bot a JEDNA hudební skupina. Díky za poučení.

Ved to je jasna satira :D netreba sa hned trigrovat.

Člověk nikdy neví.  ;)
Název: Re:Skusit BSD?
Přispěvatel: _Tomáš_ 12. 07. 2022, 09:39:32
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem. Ubuntu se to snaží dělat přes snap, openBSD to řeší/neřeší zároveň, ale proti ochranám, které mají Windows nebo MacOS, to je nesrovnatelné, musíš se na těch systémech chovat hodně odpovědně a případně si řadu věcí ošetřit sám (aneb kolik linuxů, *BSD systémů má ochranu konfiguračních souborů v ~, např. pro shell, tak aby tam cizí program/prohlížeč nemohl doplnit nějakou neplechu?).

openBSD nabízí asi nejlepší nástroje, jak připravit aplikace pro jejich bezpečný běh (sami sobě a i proti ostatním), ale jsou to jen nástroje, které musím umět použít a používat. Desktop se trochu odlišuje v tom, že ty programy vznikají za běhu, že spouštím cizí kód naprosto běžně a systém by na to měl reagovat.

Nemám moc zkušenost s *BSD na desktopu, nevyhovuje mi UI a ani nekompatilita se spoustou věcí, použím pouze na serverech.
Název: Re:Skusit BSD?
Přispěvatel: oss 12. 07. 2022, 09:58:37
...

takze BSD ma nejake sytemove API, ktore mi umozni napisat bezpecnu aplikaciu? Napr ochrana pamete, sifrovanie, cert stor ako ma Windows? Ci zas nic ako na beznom Linuxe, kde chybaju prava pritupov na subory a procesy, ci lepsie zamkanie suborov?
Název: Re:Skusit BSD?
Přispěvatel: _Tomáš_ 12. 07. 2022, 11:20:16
...

takze BSD ma nejake sytemove API, ktore mi umozni napisat bezpecnu aplikaciu? Napr ochrana pamete, sifrovanie, cert stor ako ma Windows? Ci zas nic ako na beznom Linuxe, kde chybaju prava pritupov na subory a procesy, ci lepsie zamkanie suborov?

těch mechanismů tam má celou řadu, např. poslední dobou se vše přepisuje na pledge(2) [omezený syscallů, je to v podstatě náhrada za privdrop  u roota] a inveil(2) [omezení fs volání].

Síla openBSD v bezpečnosti je za mě v tom, že na to jdou komplexně od podlahy, nesnaží se dělat rovnáky na ohejbáky, ale rovnou připravují i prostředí pro vývojáře, např. často špatně používanou funkci strcpy přepsali na strlcpy a omezily chyby, které způsobí sám vývojář. Ten systém je daleko transparentnější a přehlednější, stejná parta lidí řeší kernel u user space aplikace, vše má stejný layout, man page jsou aktuální a užitečné, makefile všude stejné, není to minové pole divností jako linux (vč. kernelu), nesnaží se za každou cenu zavádět nové funkce, když si nejsou jistí s důsledky (takový linuxový eBPF je ukázkový příklad toho, jak linux vývojáři se nechají přetlačovat a kašlou na bezpečnost). Pro víc informací mrkni třeba na wiki https://en.wikipedia.org/wiki/OpenBSD_security_features.

Rozhodně to ale neznamená, že pokud použiješ openBSD, máš bezpečnější systém než všichni ostatní, jen to znamená, že můžeš mít velice bezpečný systém s ne moc velkými náklady. Pořád je to systém, stavebnice a nikoliv hotový produkt a pořád tam sám můžeš spousty věcí zkazit.
Název: Re:Skusit BSD?
Přispěvatel: Idris 12. 07. 2022, 13:00:47
Ten systém je super jenom tenkrát, když se chováš, jak chce on, jinak uživateli hází klacky pod nohy.
Zajímavé, co konkrétně macOS komplikuje oproti Linuxu nebo jiným variantám BSD?
Název: Re:Skusit BSD?
Přispěvatel: Bel Shamharoth 12. 07. 2022, 13:05:30
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem.

Co je to za nesmysl? Co Apparmor, SELinux, FireJail etc. Nic? Co z toho mají widle, prosím? Tam je škodlivý SW hned v celým systému a nikdo tomu nezabrání. Když měl FF bug v PDF prohlížeči, všechna data byla na talíři. Já jsem se mohl jen pousmát.
Název: Re:Skusit BSD?
Přispěvatel: _Tomáš_ 12. 07. 2022, 13:53:12
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem.

Co je to za nesmysl? Co Apparmor, SELinux, FireJail etc. Nic? Co z toho mají widle, prosím? Tam je škodlivý SW hned v celým systému a nikdo tomu nezabrání. Když měl FF bug v PDF prohlížeči, všechna data byla na talíři. Já jsem se mohl jen pousmát.

ano, udělej si sám. Která z linux distribucí to má pro desktop připravené?

Mluvím třeba o obdobě ACG/CIG u Windows nebo KIP/KTRR u Mac OS. Linux má LSM (nad tím je postavený Selinux nebo apparmor), ale to je dost bezzubé, musíš mít připravené profily dopředu (kde je vezmu?), neumíš je měnit za běhu aplikace, pak stejně stačí eBPF, který obchází celé LSM. Projekty jako SARA jsou bez vývoje.

Měl jsem v ruce mod eset_rtp, to je také šílenost jak nesmyslně se snaží do linuxu na desktop přidat realtime ochranu, předávání dat do user space aplikace ke kontrole je hnus.

Jak linux zabrání, aby přes stejnou zranitelnost v FF neunikla data? Ptám se na výchozí instalaci a ne udělej si sám.
Název: Re:Skusit BSD?
Přispěvatel: Tomáš Pelc 12. 07. 2022, 14:49:01
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem.

Co je to za nesmysl? Co Apparmor, SELinux, FireJail etc. Nic? Co z toho mají widle, prosím? Tam je škodlivý SW hned v celým systému a nikdo tomu nezabrání. Když měl FF bug v PDF prohlížeči, všechna data byla na talíři. Já jsem se mohl jen pousmát.

ano, udělej si sám. Která z linux distribucí to má pro desktop připravené?

Mluvím třeba o obdobě ACG/CIG u Windows nebo KIP/KTRR u Mac OS. ...

Jenom se chtěl zeptat, jestli máš na mysli ten operační systém Windows, který téměř po každé větší aktualizaci postaví uživatele před jiný systém a nečekané problémy?
V poslední době řeším uživatelské dotazy: proč mi netiskne tiskárna, když ještě včera ano?
Takže ano, možná má ACG/CIG, ale zároveň politika aktualizací a to i v korporátu je tristní a celé to staví na hlavu.
Co je to platné, že je systém super-secure (<- s nádechem ironie), když se nemohu dostat ke svým datům nebo vytisknout dokument.
Název: Re:Skusit BSD?
Přispěvatel: Bel Shamharoth 12. 07. 2022, 14:50:25
ano, udělej si sám. Která z linux distribucí to má pro desktop připravené?
SELinux je právě od začátku postavený, aby fungoval out of the box. Ale my spolu moc nekamarádíme.
U AppArmoru a FireJailu, to chce intervenci (i když základní profily jsou), ale je to můj systém a moje rozhodnutí, kam chci co pustit, zbytek je práce na 5 minut.
A když někdo neumí, je to jeho problém, ne systému.

Mluvím třeba o obdobě ACG/CIG u Windows nebo KIP/KTRR u Mac OS.
To je sice hezký, ale reálně je to tak leda "Mírný pokrok v mezích zákona." Tohle za Vás moc nevyřeší.

Linux má LSM (nad tím je postavený Selinux nebo apparmor), ale to je dost bezzubé, musíš mít připravené profily dopředu (kde je vezmu?), neumíš je měnit za běhu aplikace, pak stejně stačí eBPF, který obchází celé LSM. Projekty jako SARA jsou bez vývoje.
SELinux se snaží být předpřipravený, udělat profil pro apparmor není problém (a je na to generátor, pokud si to člověk jednou troufne pustit, ale i tak se dá vzít základ a doladit generátorem). Já mám rád ještě firejail, který toho umožní ještě o dost víc. V tu chvíli máte zabezpečení o kterém se Vám jinde může jen zdát, bezzubost je zde hodně úsměvný pojem.

Měl jsem v ruce mod eset_rtp, to je také šílenost jak nesmyslně se snaží do linuxu na desktop přidat realtime ochranu, předávání dat do user space aplikace ke kontrole je hnus.
Tohle v Linuxu (a unixových systémech obecně) právě moc nefunguje. Právě proto, že tady se kontrola nad systémem přebírá o dost obtížněji. Ale jako jo, tohle by možná chtělo vymyslet pro BFU, ale tady je logičtější cesta zabránit průniku do systému, protože jinak je člověk beztak vystaven 0-day.

Jak linux zabrání, aby přes stejnou zranitelnost v FF neunikla data? Ptám se na výchozí instalaci a ne udělej si sám.
Chcete být špičkovým závodníkem, ale zároveň chcete, aby jste nemusel umět řídit. Věci, které jsou out-of-the-box nebývají dokonalé, ale např. v implicitním profilu AA pro firefox je blokace zápisu do HOME (aspoň něco), když chcete blokovat čtení, tak do toho musíte sáhnout, logicky (nikdo jiný to neví). Opět, neznalost uživatele není problém systému. A třeba v tom FireJailu si do HOME namountujete TMPFS a aplikace ani neví, že nevidí. Jak to udělám, prosím, ve Widlích?
Název: Re:Skusit BSD?
Přispěvatel: _Tomáš_ 12. 07. 2022, 15:25:44
Ale hlavní problém je, že to vyžaduje poměrně expertní úroveň, abych systém měl bezpečný, pak stejně stačí chyba a nemám ho (udržovat AA profily při aktualizaci je docela oříšek). Tohle asi není dlouho udržitelný postoj.

Stavět objektivní bezpečnost na subjektivní důvěře ve své schopnosti je sám o sobě klam a nemůže vést k objektivně zabezpečnému systému.

Kvalitu Windows nebo Mac OS neobhajuji, jen tvrdím, že má nástroje, které linux a *BSD zatím nemá. OpenBSD jde ale jinou cestou a z principu to není špatné, ve výchozím stavu nabízí daleko více neže freeBSD nebo linux obecně.

Primárně pracuji na linuxu a s linuxem, ale to neznamaná, že neznám jeho slabé stránky a bezhlavě ho budu obhajovat.
Název: Re:Skusit BSD?
Přispěvatel: veskotskujehnusne 12. 07. 2022, 15:45:53
On ten text z půl páté ráno působí dost opile.

Taktéž jsem si všiml lepších výsledků a méně problémů s řadiči Areca v kombinaci se šifrovanými disky (Ultrastar), které používám dlouhé roky a se síťovkami Mellanox - přenos do nového železa.

Toto mě zajímá, a vysvětlivku jsem nepobral... nešla by ta zkratka prosím trochu rozvést? :-)
Název: Re:Skusit BSD?
Přispěvatel: Bel Shamharoth 12. 07. 2022, 15:48:02

Možná by stálo za to se na to víc podívat. Udržovat AA profily není žádný problém. Může se stát, že díky striktnímu profilu aplikace po aktualizaci nenaběhne, ale v AA se to ladí velmi snadno. Já takhle funguju už roky a "náročné" bylo jen se to naučit (no asi den jsem tomu věnoval), pak jsou změny v pohodě. AA je fakt pěkný.

Ono jsou věci, které člověk sám optimálně neošéfuje (kvalita algoritmů, bezpečnost systémových aplikací atp.), jsou věci, které jsou fajn, když udělá sama apka (drop capů, sandbox atp.) a jsou věci, které nikdo neudělá líp, než Vy sám (právě ochrana dat v HOME a izolace aplikace), částečně proto, že to s sebou přináší jisté nepohodlí (nějaká "super fíčura" nemusí fungovat, webové aplikace prostě nevidí do dokumentů, protože tam prostě prohlížeč nesmí) a to nikdo neudělá by default, a taky je každý systém jiný a každý uživatel má data jinak. Představa, že se mi někdo univerzálně postará o 100% bezpečnost mého systému je naprosto naivní, ale když chci tomu pomoct, Linux ty nástroje má, Widle ne.
Název: Re:Skusit BSD?
Přispěvatel: veskotskujehnusne 12. 07. 2022, 15:50:10
Já mám dva MacBooky a na každém jiném PC mám Linux. Co že to garantuješ?  :o

Ahojte,
ti co pouzivate BSD, tak pre co?

Rozmyslam si nejake BSD-cko skusit.
Jasne. Kup si Macbook Pro alebo Mac Mini a garantujem Ti, ze uz nikdy v zivote nebudes chciet ziadny iny pocitac. Proste to tak je. A Unix vychadzajuci z BSD mas uz v cene (Darwin).
Název: Re:Skusit BSD?
Přispěvatel: _Tomáš_ 12. 07. 2022, 17:01:35

Možná by stálo za to se na to víc podívat. Udržovat AA profily není žádný problém. Může se stát, že díky striktnímu profilu aplikace po aktualizaci nenaběhne, ale v AA se to ladí velmi snadno. Já takhle funguju už roky a "náročné" bylo jen se to naučit (no asi den jsem tomu věnoval), pak jsou změny v pohodě. AA je fakt pěkný.

Ono jsou věci, které člověk sám optimálně neošéfuje (kvalita algoritmů, bezpečnost systémových aplikací atp.), jsou věci, které jsou fajn, když udělá sama apka (drop capů, sandbox atp.) a jsou věci, které nikdo neudělá líp, než Vy sám (právě ochrana dat v HOME a izolace aplikace), částečně proto, že to s sebou přináší jisté nepohodlí (nějaká "super fíčura" nemusí fungovat, webové aplikace prostě nevidí do dokumentů, protože tam prostě prohlížeč nesmí) a to nikdo neudělá by default, a taky je každý systém jiný a každý uživatel má data jinak. Představa, že se mi někdo univerzálně postará o 100% bezpečnost mého systému je naprosto naivní, ale když chci tomu pomoct, Linux ty nástroje má, Widle ne.

ono to bude přímo souviset s tím jaké aplikace používáš. Udržovat AA profily je určitá práce navíc a musíš na ní myslet a je to stejně jen řešení na půl cesty, nelze tím selektovat síťové komunikace, nelze tím snadno podchytit programy, které spouštíš poprvé, takže běžná práce je si vše spouštět v sandboxu a podle prvního chování si vygenerovat AA profil. Pak stačí jednou aplikaci spustit přímo nebo nepohlídat profil a máš bezpečnostní problém na světě. Jako nástroj pro servery, kde mám nějakou přípravnou fázi, testovací a produkční to je přijatelné, ale pro desktop? Není to zatím ono. Ano, také to používám, právě proto si nedokážu představit, že to někomu představím jako řešení.

Izolace aplikací v rámci jednoho účtu je na Mac OS nebo Windows řešena lépe, tam to ale zabíjí řada jiných chyb, na linuxu ty chyby nejsou, protože neexistují komponenty, které by je mohli obsahovat. Už jen to, že AA lze obejít přes eBPF je dost velká divnost v návrhu, ano, končí to deaktivací eBPF.

AA nebo Selinux jsou velice dobré nástroje, o tom žádná, ale pro desktop, kde si chci v prohlížeči pouštět videa, nahrávat soubory, programovat v IDE, kompilovat programy, scriptovat v pythonu, instalovat conda balíčky je to dost komplikované a nepřipravené, aspoň teda pro mě.
Název: Re:Skusit BSD?
Přispěvatel: pruzkumbojem 12. 07. 2022, 17:03:11
Mam 2 macbook air (takze nesplnuji tvoje pozadavky, ale system je stejny) a nejaky iPady.
Dalsi Apple si neporidim, dokud zase nedostane od trhu po cuni a docasne se nevzpamatuje.( Coz se deje periodicky. )

takovy pohrdanim uzivatelem a preferovanim formy pred funkci, to clovek fakt musi hledat.
Cela rodina je v tom zajedno.

takze nikomu nic negarantuj, respektive co me rodine das  za selhani sve zaruky.

Ahojte,
ti co pouzivate BSD, tak pre co?

Rozmyslam si nejake BSD-cko skusit.
Jasne. Kup si Macbook Pro alebo Mac Mini a garantujem Ti, ze uz nikdy v zivote nebudes chciet ziadny iny pocitac. Proste to tak je. A Unix vychadzajuci z BSD mas uz v cene (Darwin).
Název: Re:Skusit BSD?
Přispěvatel: Bel Shamharoth 12. 07. 2022, 17:29:42

Od začátku reaguji na tvrzení, že Linux neumí nastavit různá oprávnění pro jednotlivé aplikace pod jedním uživatelem. To je přesně, co AA dělá. Že s tím někdo neumí je jeho problém. Pokud aplikace není podezřelá, ale může být zneužitelná (typicky ten prohlížeč), není až takový problém to pustit nanečisto, člověk z auditu stejně ví, co to dělalo. Pokud podezřelá je, tak rovnou použiji FireJail. Vy už tady po několikáté píšete, že Widle to mají řešeno lépe, ale Widle to nemají řešeno vůbec (mimo FW). Jak můžu ve Widlích zabránit aplikaci, aby měla přístup do nějaké složky, nebo povolit jen R/O, když jako uživatel tam zapisovat můžu? Nebo jak můžu ve Widlích zablokovat nějaké syscally? Já teda o ničem nevím.

Nic méně, jak už jsem psal, u sítě je to obráceně, aplikační FW bych opravdu uvítal.
Název: Re:Skusit BSD?
Přispěvatel: _Tomáš_ 12. 07. 2022, 20:16:41

Od začátku reaguji na tvrzení, že Linux neumí nastavit různá oprávnění pro jednotlivé aplikace pod jedním uživatelem. To je přesně, co AA dělá. Že s tím někdo neumí je jeho problém. Pokud aplikace není podezřelá, ale může být zneužitelná (typicky ten prohlížeč), není až takový problém to pustit nanečisto, člověk z auditu stejně ví, co to dělalo. Pokud podezřelá je, tak rovnou použiji FireJail. Vy už tady po několikáté píšete, že Widle to mají řešeno lépe, ale Widle to nemají řešeno vůbec (mimo FW). Jak můžu ve Widlích zabránit aplikaci, aby měla přístup do nějaké složky, nebo povolit jen R/O, když jako uživatel tam zapisovat můžu? Nebo jak můžu ve Widlích zablokovat nějaké syscally? Já teda o ničem nevím.

Nic méně, jak už jsem psal, u sítě je to obráceně, aplikační FW bych opravdu uvítal.

nepsal jsem, že to přímo neumí, jen že Win/Mac jsou v těch ochrannách dál a že na linuxu si musíš řadu věcí ošetřit sám, není to připravené na to, abys byl chráněný bez toho, abys musel implicitně používat dané technologie a udržovat k nim pravidla, to považuji za zásadní problém pro někoho, kdo se ptá, jestli systém X je bezpečnější než Y. AA je skvělej, ale jak chrání proti IPC, může ho povolit nebo zakázat, ale to je vše? X server není řešen vůbec, u LSM nemáš možnost alokace dat, aktualizace pravidel a držení historie, eset to řeší přes user space proces, který ty data drží, to ale není optimální).

A jak myslíš, že na Windows fungují antiviry? Blokují přístup na soubory, syscally a síť. Nikde jsem nepsal, že to má být uživatel pod kontrolou, ale jestli OS tu možnost nabízí, abych tam k tomu mohl mít specializované aplikace, na linuxu takové api chybí, LSM je dost low-level, hookuje přímo volání do kernel kódu a je nutné to pečlivě testovat na každou verzi kernelu, neumožňuje držet stav a context. Windows třeba dneska mají i Windows sandbox, to je určeno pro uživatele. To je i důvod proč na linux v podstatě neexistují antiviry, které by dělali realtime ochranu, velká část antivirů je asynchronních a do řady provozu se vůbec nedostanou snadno (např. zajistit kontrolu stahovaných souborů přináší problém, jak se dostat k zdrojové url).

Máš pravdu v tom co píšeš, AA je mocný, umí toho hodně, pokud ho používáš správně a výlučně, máš velice dobře systém pod kontrolou, ale to můžeš tak akorát používat u sebe, nelze tím říct, že linux je díky tomu bezpečný, není, protože žádná linux desktop distribuce tohle nemá zapnutý automaticky (Tails na to jde trochu jinak a není to uživatelsky zrovna přívětivé).
Název: Re:Skusit BSD?
Přispěvatel: Bel Shamharoth 12. 07. 2022, 20:46:56

Takže Widle nic neumí, ale dají se na to hacknout externím programem. To je trochu rozdíl. Navíc touhle logikou byl vlastně nejbezpečnější DOS případně 16b. Widle. Nic méně i ty antiviry jsou schopny odhalit a zablokovat jim známé malwary a konkrétní útoky, žádný nezablokuje 0-day a už vůbec ne to, co vypadá legitimně (tak něco čte tenhle soubor, já, AV, vůbec nevím, že je to klíčenka / citlivý dokument a že na to fakt tahle apka nemá, co sahat), a těhle malých/velkých hrozeb jsou mraky. Když je appka oddělená v jailu/NS nebo má preventivně zákaz tam, kde nemá co dělat (což bez intervence uživatele moc nejde), tak jsou systém a zejména data chráněna i proti 0-day a dobře.

V každém případě stále platí, Linux umí, jen to chce obeznámeného uživatele, Widle neumí nic (jen se to dá teoreticky dohackovat). A rozhodně to neplatí obráceně.
Název: Re:Skusit BSD?
Přispěvatel: oss 13. 07. 2022, 07:51:26

Od začátku reaguji na tvrzení, že Linux neumí nastavit různá oprávnění pro jednotlivé aplikace pod jedním uživatelem. To je přesně, co AA dělá. Že s tím někdo neumí je jeho problém. Pokud aplikace není podezřelá, ale může být zneužitelná (typicky ten prohlížeč), není až takový problém to pustit nanečisto, člověk z auditu stejně ví, co to dělalo. Pokud podezřelá je, tak rovnou použiji FireJail. Vy už tady po několikáté píšete, že Widle to mají řešeno lépe, ale Widle to nemají řešeno vůbec (mimo FW). Jak můžu ve Widlích zabránit aplikaci, aby měla přístup do nějaké složky, nebo povolit jen R/O, když jako uživatel tam zapisovat můžu? Nebo jak můžu ve Widlích zablokovat nějaké syscally? Já teda o ničem nevím.

Nic méně, jak už jsem psal, u sítě je to obráceně, aplikační FW bych opravdu uvítal.

Omyl Windows to velmi dobre riesi cez GP. Na vyssich ediciach je k tomu AppLocker, ktory to riesi tiez.


Takže Widle nic neumí, ale dají se na to hacknout externím programem. To je trochu rozdíl. Navíc touhle logikou byl vlastně nejbezpečnější DOS případně 16b. Widle. Nic méně i ty antiviry jsou schopny odhalit a zablokovat jim známé malwary a konkrétní útoky, žádný nezablokuje 0-day a už vůbec ne to, co vypadá legitimně (tak něco čte tenhle soubor, já, AV, vůbec nevím, že je to klíčenka / citlivý dokument a že na to fakt tahle apka nemá, co sahat), a těhle malých/velkých hrozeb jsou mraky. Když je appka oddělená v jailu/NS nebo má preventivně zákaz tam, kde nemá co dělat (což bez intervence uživatele moc nejde), tak jsou systém a zejména data chráněna i proti 0-day a dobře.

V každém případě stále platí, Linux umí, jen to chce obeznámeného uživatele, Widle neumí nic (jen se to dá teoreticky dohackovat). A rozhodně to neplatí obráceně.

Opakujem linuxu chyba zakladne api na zabezpecenie aplikacii a ma nedostatcne vyriesene prava.
Název: Re:Skusit BSD?
Přispěvatel: _Tomáš_ 13. 07. 2022, 09:02:49

Takže Widle nic neumí, ale dají se na to hacknout externím programem. To je trochu rozdíl. Navíc touhle logikou byl vlastně nejbezpečnější DOS případně 16b. Widle. Nic méně i ty antiviry jsou schopny odhalit a zablokovat jim známé malwary a konkrétní útoky, žádný nezablokuje 0-day a už vůbec ne to, co vypadá legitimně (tak něco čte tenhle soubor, já, AV, vůbec nevím, že je to klíčenka / citlivý dokument a že na to fakt tahle apka nemá, co sahat), a těhle malých/velkých hrozeb jsou mraky. Když je appka oddělená v jailu/NS nebo má preventivně zákaz tam, kde nemá co dělat (což bez intervence uživatele moc nejde), tak jsou systém a zejména data chráněna i proti 0-day a dobře.

V každém případě stále platí, Linux umí, jen to chce obeznámeného uživatele, Widle neumí nic (jen se to dá teoreticky dohackovat). A rozhodně to neplatí obráceně.

A co je appArmor pro Linux jiného než externí program? Už 14 let na něj práva vlastní společnost Canonical, ta ho i dále rozvíjí. Zapomeň na antivirus a jejich heuristiku pro vyhledávání známých virů, jde o schopnost reagovat na údálosti v systému a jejich běh povolit nebo zakázat, Linux takové informace neposkytuje v dobře integrovatelné podobě, zmíněné LSM je nedostatečný, dnes se zkouší tohle řešit přes eBPF, ale to zatím považuji za divnou to cestu.
Název: Re:Skusit BSD?
Přispěvatel: Bel Shamharoth 13. 07. 2022, 09:13:39

AppLocker ale jen umožňuje zabránit startu aplikace, ne ji odříznout oprávnění. GP je pouze orchestrace, tím můžete něco nastavit, ale to něco musí existovat, ale ono neexistuje.

Opakujem linuxu chyba zakladne api na zabezpecenie aplikacii a ma nedostatcne vyriesene prava.

Další tah mimo šachovnici. Co se týče těch oprávnění, už toho bylo zmíněno dost a pokud stále trváte na tom, že nic na Widlích je lepší než něco na Linuxu, tak budiž.
Název: Re:Skusit BSD?
Přispěvatel: Bel Shamharoth 13. 07. 2022, 09:17:44

LSM je součástí jádra. A řeč byla o odizolování aplikace, to s real-time kontrolou otevíraných souborů externí apkou nemá moc společného. Navíc to, že ve Widlích může AV kontrolovat každou aplikaci v systému je právě dané šílenou děravostí toho systému, v každém případě je to OT.
Název: Re:Skusit BSD?
Přispěvatel: _Tomáš_ 13. 07. 2022, 11:53:19

LSM je součástí jádra. A řeč byla o odizolování aplikace, to s real-time kontrolou otevíraných souborů externí apkou nemá moc společného. Navíc to, že ve Widlích může AV kontrolovat každou aplikaci v systému je právě dané šílenou děravostí toho systému, v každém případě je to OT.

AppArmor, ale není součástí jádra, je to externí aplikace. LSM si jen tak sám nemůžeš ovládat (nebo jsi zkoušel psát injectovaný kód do syscallů?), to není api, to je hook inject.

Ne, řeč byla přímo o tomhle tvrzení, které jsi začal nesmyslně rozporovat přes AA, který to neřeší:
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem. Ubuntu se to snaží dělat přes snap, openBSD to řeší/neřeší zároveň, ale proti ochranám, které mají Windows nebo MacOS, to je nesrovnatelné, musíš se na těch systémech chovat hodně odpovědně a případně si řadu věcí ošetřit sám.

Stejná situace je i s Mac OS, poskytuje api pro integraci bezpečnostních aplikací a mohou vzniknout věci jako little snitch, také je pro tebe děravý? Jak na Linux zajistíš alternativu k UAC nebo Privacy preferences (u Mac OS) pro desktopové aplikace? Sudo a spouštět aplikaci s právy root? Opravdu? Nebo jaké je alternativu na linuxu k memory exploit mitigation (nebo využívání anonymous executable memory aka ROP exploity), což je třeba kritické při přehrávání videí v prohlížeči? Množství úspěšných útoků a malwarů pro linux roste meziročně o desítky procent i v CZ prostředí (jsem z oboru), objevují se čím dál více fileless malwary (proti tomu AA nechrání v podstatě vůbec).

Ono to jde i dál, ochrana jádra před superuživatelem, u Windowsu ani Mac OS nejsem schopný jednoduše jádro napadnout, ikdyž jako nějaký zákeřný program dostane práva (např. tím, že jsem přibalený k nějakému legitimnímu programu). Na Linuxu máš díky AppArmor otevřený LSM, což jsou zadní vrátky do celého systému (stejně jako eBPF). Pokud zapneš direktivu kernelu SECURITY_LOCKDOWN_LSM_EARLY, ztratíš možnost měnit AA profily za běhu systému a pro každou změnu musíš dělat restart, v opačném případě jsi náchylný k řadě útoků. Kdyby v tomhle byl Linux v pořádku, nemusí vznikat projekty jako https://github.com/linux-lock/bpflock, však si přečti odůvodnění, to nejsou pohádky, ale reálné problémy.

Linux lze dobře zabezpečit pro spouštění kontrolovaného provozu, AA a jiné nástroje jsou strašně silné, ale znamená to, že znám dobře každou aplikaci, mohu hledat anomálie v logách. Tohle ale už dobře nefunguje pro desktop, kde přes AA není možné chránit aplikace mezi sebou, mezi tím, aby si navzájem šahali do paměti nebo si posílali signály, AA tohle neřeší, řeší to třeba cgroup, ale u toho neexistuje distribuce, která by všechny aplikace spouštěla ve vlastní cgroupě (ano,  cgrules.conf si musím dělat sám a nachystat pro vše, co spouštím, nelze vynutit pro všechny aplikace striktně).

Sám si musíš být vědom, kde AA má svoje limity a co vlastně vůbec neřeší.


Název: Re:Skusit BSD?
Přispěvatel: Bel Shamharoth 13. 07. 2022, 17:56:27

Už mě ani nebaví na tohle fundovaně odpovídat. Bílá je černá, černá je bílá, díra je bezpečnost a bezpečnostní systém díra. A když se Vás zeptám na něco konkrétního mluvíte o něčem jiném a když Vám 2x připomenu na jaké nesmyslné tvrzení jsem reagoval, tak začnete tvrdit, že jste vlastně psal něco jiného.