Distribuce podle bezpecnosti?

[Milan Kerslager]

On Mon, 4 Jun 2001, Vaclav Ovsik wrote:

> Mluvil jsem s clovekem, ktery se stara o servery a je odpovedny za
> jejich bezbecnost. Shledal, ze distribuce jako RedHat ci Debian jsou
> pro nej naprosto nepouzitelne, nebot vypousti opravy bezp. chyb
> (updaty) se znacnym zpozdenim. Pry: "Nemuzu cekat, az mi nekdo hackne
> server, zatimco treba RH vyda za ctrnact dni patch."

Pokud se jedna o bezpecnostni patch a panuje shoda o jeho reseni
(trivialnim), je zaplata a nasledne i balicky pro distribuce pomerne brzo
k dispozici (a ve srovnatelnem case).

Pokud vznikne nejaky bezpecnostni problem, nebyvaji postizeny *vsechny*
distribuce. Jednak proto, ze obsahuji ruzne verze daneho programu a jednak
proto, ze jejich balicky jsou ruzne patchovane a ruzne prekladane (nektere
problemy se projevi treba prelozenim programu s volbou XY nebo patchem Z).

Dobry admin si po zjisteni chyby udela sam provizorni bezpecnostni
opatreni (napr. vyrazeni dotycne sluzby z public pristupu, dodatecne
firewallove pravidla, sledovani logu, omezeni pristupu luseru ke stroji
atp.). Dobry admin neaplikuje zaplaty bezhlave, ale s rozmyslem, protoze
neni vetsi zabava, nez 3x v rychlem sledu "opravit" problem a zavlect si
do systemu dalsich 10 chyb (rozbiju si i drive funkcni podsystemy).

> Konkretni priklad, ktery mi dal: Viz. http://www.gnupg.org/ Vysla
> oprava zavazne chyby v gnupg, 1.0.6 (2001-05-29).

Nekoukal jsem na to blize, ale u problemu je podminka "if --batch is not
used", takze na primy dotaz muze (napriklad) nekdo odpovedet "Our
distribution is not exploaitable because we do not use this" [uz jsem
takovou odpoved dostal na primy dotaz od RH nekolikrat].

Jina mozna odpoved je typu: This fix is not correct and do not solve this
security issue at all, so when you apply it you are *still not* safe. We
are working on complex solution.

> Protoze to co ja jako vyvojar sesmolim se sklada z vice baliku
> (databazovo-webo-a_ja_nevim_co_jeste-aplikace), je asi vhodne abych to
> pachal a testoval primo na distribuci ktera bude kdesi nasazena na
> Inet dejme tomu. Neni pro me prenesene uz bezpecnost zase tak
> druhorada.

Zadna velka distribuce si nedovoli ignorovat bezpecnostni problemy. IMHO
je remote exploit zavaznejsi, nez potencialni problem u user-space
programu, ktery je sice neprijemny, ale vhodnym chovanim (napr. ze na
server luserove nesmeji) se stava "naprosto" bezvyznamnyn.

BTW: pokud byste chtel posoudit bezpecnostni hledisko na ruznych
     distribucich, je rychlost vydavani updatu minoritni, protoze
     dulezitejsi bude peclivost provedeni distribuce, interni audit
     distribuce (tj. fixy potencionalnich problemu uz pred jejich
     vznikem) a tim kvalita jejich bezpecnostnich expertu. K tomu byste
     potreboval o dost sirsi znalost problematiky a musel byste se
     podrobne venovat kazdemu jednotlivemu problemu.

Chci tim take naznacit, ze aplikace ruznych patchu (do jadra nebo do
aplikaci) muze byt ve svem dusledku kontraproduktivni - napr. falesny
pocit bezpeci, system slitne kvuli pitome chybe v superbezpecnostnim
patchu na memoryleak nebo DoS, bezpecnostni opatreni se da nejak obejit
(napr. nonexec stack patch), admin je ignorant atd.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na spsselib.hiedu.cz
                        WWW:    http://www.spsselib.hiedu.cz/~kerslage/