Distribuce podle bezpecnosti?

Vaclav Ovsik Vaclav.Ovsik na i.cz
Pondělí Červen 4 12:24:27 CEST 2001


Zdravim,
predne bych rad upozornil, ze nechci zadnou flamewar.
Dovedu si predstavit, ze nekteri se zase neovladnou. :-).

Na uvod bych rekl, ze jsem dosud nespravoval server
primo pripojeny do Inetu ani firewall, takze doposud
bezpecnost pro me nebyla veci s prioritou cislo 1.
Nejak me nenapadlo zkoumat jak rychle distribuce vypousti
bezpecnostni updaty, nebylo to pro me tolik dulezite.
Spise pro me byla dulezita aplikacni stranka veci (a je i nadale).

Pouzival jsem nekolik let distribuci RedHat, asi pred pul rokem,
jsem zacal zkoumat Debian GNU/Linux (stable).
Ted, kdyz uz jsem se trochu obeznamil i s Debianem,
mohu rict, ze kazda distribuce ma svoje. Nelze rict, ze jedna
je lepsi nez druha. (Nic noveho pod sluncem.)

Mluvil jsem s clovekem, ktery se stara o servery a je odpovedny
za jejich bezbecnost. Shledal, ze distribuce jako RedHat
ci Debian jsou pro nej naprosto nepouzitelne, nebot
vypousti opravy bezp. chyb (updaty) se znacnym zpozdenim.
Pry: "Nemuzu cekat, az mi nekdo hackne server, zatimco
treba RH vyda za ctrnact dni patch."
Vedl jsem s nim chvilku polemiku, ale na konkretnich
prikladech uvadel co je spatne a nezbylo mi, nez mu dat
za pravdu.
Pouziva Mandrake.

Konkretni priklad, ktery mi dal:
Viz. http://www.gnupg.org/
Vysla oprava zavazne chyby v gnupg, 1.0.6 (2001-05-29).

1. Pro distribuci, kterou ten clovek pouziva - Mandrake
- vysla oprava (pro vsechny distribuce Mandrake) 2001-05-30

2. Pro Debian se doposud v updatech nic neobjevilo,
existuje balik v pool/non-US/main/gnupg/.
Pro i386 ma datum 2001-05-30 (ale uz druha revize),
prvni mela mam pocit 2001-05-29.
Na www.gnupg.org je zminka,
ze balik pro Debain je na obvyklem miste, coz je asi toto.

3. Pro RH jsem zatim nic neobjevil

4. Pres Nosey Parkera (takze jenom v nejblizsim okoli)
   jsem nasel dale balicky pro nasledujici:

   a) EnGarde Secure Linux
	- asi nejaky bezpecny mensi Linux
   b) ImmunixOS
        - Pry: "Immunix is a family of tools designed to enhance system
	integrity by hardening system components and platforms against
	security attacks."

Ze znamejsich (rozsirenejsich distribuci), jak se zda,
opravdu nikdo krome Mandrake zatim standardni cestou updates
(krome Mandrake) doposud opravu nevydal.
Dle tvrzeni admina co jsem s nim mel rozhovor to takhle vypada
porad, pry si delal pruzkum mezi distribucemi
a nakonec se rozhodl pro Mandrake.

Protoze to co ja jako vyvojar sesmolim se sklada z vice baliku
(databazovo-webo-a_ja_nevim_co_jeste-aplikace),
je asi vhodne abych to pachal
a testoval primo na distribuci ktera bude kdesi nasazena
na Inet dejme tomu. Neni pro me prenesene uz bezpecnost
zase tak druhorada.

Takze co si myslite o distribucich z pohledu
"bezpecnost na prvnim miste" a pritom se slusnym vyberem baliku?
(Ackoliv to jde trochu proti sobe.)

Prosim jenom fakta.
Diky.

-- 
	Vaclav Ovsik		email: Vaclav.Ovsik na i.cz
	ICZ a.s.		phone: +420 19 7488511
				fax:   +420 19 7488506



Další informace o konferenci Linux