Skusit BSD?

robin martinez

  • *****
  • 1 138
  • Have you hugged your toilet today?
    • Zobrazit profil
    • Null Storage
    • E-mail
Re:Skusit BSD?
« Odpověď #15 kdy: 12. 07. 2022, 07:20:01 »
macy JSOU super. Lidi, co tvrdi opak jsou bud hateri nebo to v hnatach nemeli.
One machine can do the work of fifty ordinary men. No machine can do the work of one extraordinary man.

I do Linux, Hardware and spaghetti code in PHP, Python and JavaScript


Ink

  • *****
  • 654
    • Zobrazit profil
    • E-mail
Re:Skusit BSD?
« Odpověď #16 kdy: 12. 07. 2022, 07:39:49 »
macy JSOU super. Lidi, co tvrdi opak jsou bud hateri nebo to v hnatach nemeli.

Aha, takže všem vyhovuje JEDNO auto, JEDNA značka bot a JEDNA hudební skupina. Díky za poučení.

oss

  • ***
  • 229
    • Zobrazit profil
    • E-mail
Re:Skusit BSD?
« Odpověď #17 kdy: 12. 07. 2022, 08:36:18 »
macy JSOU super. Lidi, co tvrdi opak jsou bud hateri nebo to v hnatach nemeli.

Aha, takže všem vyhovuje JEDNO auto, JEDNA značka bot a JEDNA hudební skupina. Díky za poučení.

Ved to je jasna satira :D netreba sa hned trigrovat.

Ink

  • *****
  • 654
    • Zobrazit profil
    • E-mail
Re:Skusit BSD?
« Odpověď #18 kdy: 12. 07. 2022, 08:40:59 »
macy JSOU super. Lidi, co tvrdi opak jsou bud hateri nebo to v hnatach nemeli.

Aha, takže všem vyhovuje JEDNO auto, JEDNA značka bot a JEDNA hudební skupina. Díky za poučení.

Ved to je jasna satira :D netreba sa hned trigrovat.

Člověk nikdy neví.  ;)

Re:Skusit BSD?
« Odpověď #19 kdy: 12. 07. 2022, 09:39:32 »
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem. Ubuntu se to snaží dělat přes snap, openBSD to řeší/neřeší zároveň, ale proti ochranám, které mají Windows nebo MacOS, to je nesrovnatelné, musíš se na těch systémech chovat hodně odpovědně a případně si řadu věcí ošetřit sám (aneb kolik linuxů, *BSD systémů má ochranu konfiguračních souborů v ~, např. pro shell, tak aby tam cizí program/prohlížeč nemohl doplnit nějakou neplechu?).

openBSD nabízí asi nejlepší nástroje, jak připravit aplikace pro jejich bezpečný běh (sami sobě a i proti ostatním), ale jsou to jen nástroje, které musím umět použít a používat. Desktop se trochu odlišuje v tom, že ty programy vznikají za běhu, že spouštím cizí kód naprosto běžně a systém by na to měl reagovat.

Nemám moc zkušenost s *BSD na desktopu, nevyhovuje mi UI a ani nekompatilita se spoustou věcí, použím pouze na serverech.


oss

  • ***
  • 229
    • Zobrazit profil
    • E-mail
Re:Skusit BSD?
« Odpověď #20 kdy: 12. 07. 2022, 09:58:37 »
...

takze BSD ma nejake sytemove API, ktore mi umozni napisat bezpecnu aplikaciu? Napr ochrana pamete, sifrovanie, cert stor ako ma Windows? Ci zas nic ako na beznom Linuxe, kde chybaju prava pritupov na subory a procesy, ci lepsie zamkanie suborov?

Re:Skusit BSD?
« Odpověď #21 kdy: 12. 07. 2022, 11:20:16 »
...

takze BSD ma nejake sytemove API, ktore mi umozni napisat bezpecnu aplikaciu? Napr ochrana pamete, sifrovanie, cert stor ako ma Windows? Ci zas nic ako na beznom Linuxe, kde chybaju prava pritupov na subory a procesy, ci lepsie zamkanie suborov?

těch mechanismů tam má celou řadu, např. poslední dobou se vše přepisuje na pledge(2) [omezený syscallů, je to v podstatě náhrada za privdrop  u roota] a inveil(2) [omezení fs volání].

Síla openBSD v bezpečnosti je za mě v tom, že na to jdou komplexně od podlahy, nesnaží se dělat rovnáky na ohejbáky, ale rovnou připravují i prostředí pro vývojáře, např. často špatně používanou funkci strcpy přepsali na strlcpy a omezily chyby, které způsobí sám vývojář. Ten systém je daleko transparentnější a přehlednější, stejná parta lidí řeší kernel u user space aplikace, vše má stejný layout, man page jsou aktuální a užitečné, makefile všude stejné, není to minové pole divností jako linux (vč. kernelu), nesnaží se za každou cenu zavádět nové funkce, když si nejsou jistí s důsledky (takový linuxový eBPF je ukázkový příklad toho, jak linux vývojáři se nechají přetlačovat a kašlou na bezpečnost). Pro víc informací mrkni třeba na wiki https://en.wikipedia.org/wiki/OpenBSD_security_features.

Rozhodně to ale neznamená, že pokud použiješ openBSD, máš bezpečnější systém než všichni ostatní, jen to znamená, že můžeš mít velice bezpečný systém s ne moc velkými náklady. Pořád je to systém, stavebnice a nikoliv hotový produkt a pořád tam sám můžeš spousty věcí zkazit.

Idris

  • *****
  • 2 286
    • Zobrazit profil
    • E-mail
Re:Skusit BSD?
« Odpověď #22 kdy: 12. 07. 2022, 13:00:47 »
Ten systém je super jenom tenkrát, když se chováš, jak chce on, jinak uživateli hází klacky pod nohy.
Zajímavé, co konkrétně macOS komplikuje oproti Linuxu nebo jiným variantám BSD?

Re:Skusit BSD?
« Odpověď #23 kdy: 12. 07. 2022, 13:05:30 »
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem.

Co je to za nesmysl? Co Apparmor, SELinux, FireJail etc. Nic? Co z toho mají widle, prosím? Tam je škodlivý SW hned v celým systému a nikdo tomu nezabrání. Když měl FF bug v PDF prohlížeči, všechna data byla na talíři. Já jsem se mohl jen pousmát.

Re:Skusit BSD?
« Odpověď #24 kdy: 12. 07. 2022, 13:53:12 »
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem.

Co je to za nesmysl? Co Apparmor, SELinux, FireJail etc. Nic? Co z toho mají widle, prosím? Tam je škodlivý SW hned v celým systému a nikdo tomu nezabrání. Když měl FF bug v PDF prohlížeči, všechna data byla na talíři. Já jsem se mohl jen pousmát.

ano, udělej si sám. Která z linux distribucí to má pro desktop připravené?

Mluvím třeba o obdobě ACG/CIG u Windows nebo KIP/KTRR u Mac OS. Linux má LSM (nad tím je postavený Selinux nebo apparmor), ale to je dost bezzubé, musíš mít připravené profily dopředu (kde je vezmu?), neumíš je měnit za běhu aplikace, pak stejně stačí eBPF, který obchází celé LSM. Projekty jako SARA jsou bez vývoje.

Měl jsem v ruce mod eset_rtp, to je také šílenost jak nesmyslně se snaží do linuxu na desktop přidat realtime ochranu, předávání dat do user space aplikace ke kontrole je hnus.

Jak linux zabrání, aby přes stejnou zranitelnost v FF neunikla data? Ptám se na výchozí instalaci a ne udělej si sám.

Re:Skusit BSD?
« Odpověď #25 kdy: 12. 07. 2022, 14:49:01 »
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem.

Co je to za nesmysl? Co Apparmor, SELinux, FireJail etc. Nic? Co z toho mají widle, prosím? Tam je škodlivý SW hned v celým systému a nikdo tomu nezabrání. Když měl FF bug v PDF prohlížeči, všechna data byla na talíři. Já jsem se mohl jen pousmát.

ano, udělej si sám. Která z linux distribucí to má pro desktop připravené?

Mluvím třeba o obdobě ACG/CIG u Windows nebo KIP/KTRR u Mac OS. ...

Jenom se chtěl zeptat, jestli máš na mysli ten operační systém Windows, který téměř po každé větší aktualizaci postaví uživatele před jiný systém a nečekané problémy?
V poslední době řeším uživatelské dotazy: proč mi netiskne tiskárna, když ještě včera ano?
Takže ano, možná má ACG/CIG, ale zároveň politika aktualizací a to i v korporátu je tristní a celé to staví na hlavu.
Co je to platné, že je systém super-secure (<- s nádechem ironie), když se nemohu dostat ke svým datům nebo vytisknout dokument.

Re:Skusit BSD?
« Odpověď #26 kdy: 12. 07. 2022, 14:50:25 »
ano, udělej si sám. Která z linux distribucí to má pro desktop připravené?
SELinux je právě od začátku postavený, aby fungoval out of the box. Ale my spolu moc nekamarádíme.
U AppArmoru a FireJailu, to chce intervenci (i když základní profily jsou), ale je to můj systém a moje rozhodnutí, kam chci co pustit, zbytek je práce na 5 minut.
A když někdo neumí, je to jeho problém, ne systému.

Mluvím třeba o obdobě ACG/CIG u Windows nebo KIP/KTRR u Mac OS.
To je sice hezký, ale reálně je to tak leda "Mírný pokrok v mezích zákona." Tohle za Vás moc nevyřeší.

Linux má LSM (nad tím je postavený Selinux nebo apparmor), ale to je dost bezzubé, musíš mít připravené profily dopředu (kde je vezmu?), neumíš je měnit za běhu aplikace, pak stejně stačí eBPF, který obchází celé LSM. Projekty jako SARA jsou bez vývoje.
SELinux se snaží být předpřipravený, udělat profil pro apparmor není problém (a je na to generátor, pokud si to člověk jednou troufne pustit, ale i tak se dá vzít základ a doladit generátorem). Já mám rád ještě firejail, který toho umožní ještě o dost víc. V tu chvíli máte zabezpečení o kterém se Vám jinde může jen zdát, bezzubost je zde hodně úsměvný pojem.

Měl jsem v ruce mod eset_rtp, to je také šílenost jak nesmyslně se snaží do linuxu na desktop přidat realtime ochranu, předávání dat do user space aplikace ke kontrole je hnus.
Tohle v Linuxu (a unixových systémech obecně) právě moc nefunguje. Právě proto, že tady se kontrola nad systémem přebírá o dost obtížněji. Ale jako jo, tohle by možná chtělo vymyslet pro BFU, ale tady je logičtější cesta zabránit průniku do systému, protože jinak je člověk beztak vystaven 0-day.

Jak linux zabrání, aby přes stejnou zranitelnost v FF neunikla data? Ptám se na výchozí instalaci a ne udělej si sám.
Chcete být špičkovým závodníkem, ale zároveň chcete, aby jste nemusel umět řídit. Věci, které jsou out-of-the-box nebývají dokonalé, ale např. v implicitním profilu AA pro firefox je blokace zápisu do HOME (aspoň něco), když chcete blokovat čtení, tak do toho musíte sáhnout, logicky (nikdo jiný to neví). Opět, neznalost uživatele není problém systému. A třeba v tom FireJailu si do HOME namountujete TMPFS a aplikace ani neví, že nevidí. Jak to udělám, prosím, ve Widlích?

Re:Skusit BSD?
« Odpověď #27 kdy: 12. 07. 2022, 15:25:44 »
Ale hlavní problém je, že to vyžaduje poměrně expertní úroveň, abych systém měl bezpečný, pak stejně stačí chyba a nemám ho (udržovat AA profily při aktualizaci je docela oříšek). Tohle asi není dlouho udržitelný postoj.

Stavět objektivní bezpečnost na subjektivní důvěře ve své schopnosti je sám o sobě klam a nemůže vést k objektivně zabezpečnému systému.

Kvalitu Windows nebo Mac OS neobhajuji, jen tvrdím, že má nástroje, které linux a *BSD zatím nemá. OpenBSD jde ale jinou cestou a z principu to není špatné, ve výchozím stavu nabízí daleko více neže freeBSD nebo linux obecně.

Primárně pracuji na linuxu a s linuxem, ale to neznamaná, že neznám jeho slabé stránky a bezhlavě ho budu obhajovat.

Re:Skusit BSD?
« Odpověď #28 kdy: 12. 07. 2022, 15:45:53 »
On ten text z půl páté ráno působí dost opile.

Taktéž jsem si všiml lepších výsledků a méně problémů s řadiči Areca v kombinaci se šifrovanými disky (Ultrastar), které používám dlouhé roky a se síťovkami Mellanox - přenos do nového železa.

Toto mě zajímá, a vysvětlivku jsem nepobral... nešla by ta zkratka prosím trochu rozvést? :-)

Re:Skusit BSD?
« Odpověď #29 kdy: 12. 07. 2022, 15:48:02 »

Možná by stálo za to se na to víc podívat. Udržovat AA profily není žádný problém. Může se stát, že díky striktnímu profilu aplikace po aktualizaci nenaběhne, ale v AA se to ladí velmi snadno. Já takhle funguju už roky a "náročné" bylo jen se to naučit (no asi den jsem tomu věnoval), pak jsou změny v pohodě. AA je fakt pěkný.

Ono jsou věci, které člověk sám optimálně neošéfuje (kvalita algoritmů, bezpečnost systémových aplikací atp.), jsou věci, které jsou fajn, když udělá sama apka (drop capů, sandbox atp.) a jsou věci, které nikdo neudělá líp, než Vy sám (právě ochrana dat v HOME a izolace aplikace), částečně proto, že to s sebou přináší jisté nepohodlí (nějaká "super fíčura" nemusí fungovat, webové aplikace prostě nevidí do dokumentů, protože tam prostě prohlížeč nesmí) a to nikdo neudělá by default, a taky je každý systém jiný a každý uživatel má data jinak. Představa, že se mi někdo univerzálně postará o 100% bezpečnost mého systému je naprosto naivní, ale když chci tomu pomoct, Linux ty nástroje má, Widle ne.