Bezpecnost.
Pavel Kankovsky
peak na kerberos.troja.mff.cuni.cz
Pondělí Listopad 3 20:09:38 CET 1997
On Mon, 3 Nov 1997, Rejc Libor wrote:
> Mam takovy zvlastni problem. Zkuste mi nekdo poradit, jak vysvetlit
> nekomu, kdo nevi "vo co go", proc neni Linux mene bezpecny nez ostatni
> systemy, prestoze jsou vsem pristupne zdrojaky? Argumenty, ze na
nejprve bych tomu dotycnemu polozil otazku, zda je dle jeho nazoru bezpecny
system, ve kterem 1) nejsou bezpecnostni diry, 2) jsou, ale nevi se o nich
pokud bude mit nazor (2), pak je ztraceny pripad :)
v opacnem pripade lze predpokladat, ze chape, ze "obscurity isn't security"
> objeveni diry ma moznost pracovat fura lidicek z celeho sveta a ze se
> jim to vtom zdrojaku hleda mnohem lepe moc nezabiraji. Mozna vam to
to je pouze jeden z moznych argumentu (nemohu nevzpomenout hlasku
"given enough eyeballs, all bugs are shallow")
jina vec (i kdyz souvisejici) je, ze z dostupnosti zdrojovych kodu
vyplyva takrka neomezena modifikovatelnost, coz znamena, ze si uzivatel
muze produkt--i po bezpecnostni strance--prizpusobit svym potrebam
(samozrejme si ho muze i zprasit, ale tak uz to chodi)
> Take jsem nekde cetl, ze by Linux mohl ziskat certifikat pro nasazeni v
> US Army. Nevim ale, jestli to vyslo, nevyslo nebo je to fama. V kazdem
> pripade to ale asi nebude nejaka standardni distribuce.
nevim jak v americke armade, ale pro ziskani certifikace ITSEC (nevim
presne od jake urovne) je nutny nezavisly audit zdrojovych kodu (ovsem
take formalni popis bezpecnostnich funkci a formalni dukaz toho, ze jsou
navrzeny a implementovany spravne)
> Mimochodem. NT tento certifikat pry maji pouze pro lokalni a ne sitovy
> provoz :-)
pozitivni--musi bezet v presne konfiguraci na jedne z asi 4 presne
specifikovanych masin a byt zcela a naprosto nezasitovane
P.S. kdosi tady zminoval, ze mu neni jasne, kdo by zaplatil pripadne
certifikovani Linuxu--no, kdyz se nasla firma, ktera si nechala udelat
POSIX certifikaci sve distribuce (myslim, ze to byl Lasermoon), coz
asi taky neni levna zalezitost...
--Pavel Kankovsky aka Peak (troja.mff.cuni.cz network administration)
Další informace o konferenci Linux