- A hozzászóláshoz be kell jelentkezni
- 3417 megtekintés
Hozzászólások
Mi kerül fel az alapértelmezett telepítésben?
- A hozzászóláshoz be kell jelentkezni
Most hogy az ssh is választható telepítéskor (hogy fusson-e), gondolom már csak a remote inetd (ident/daytime/time) service exploit játszik, vagy a közvetlen remote kernel exploit... :)
- A hozzászóláshoz be kell jelentkezni
sendmail is van, nem?
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
localhoston
- A hozzászóláshoz be kell jelentkezni
csak csendben jelezni szerettem volna, hogy a default install igen kevés mindenre jó. ha meg felrakod a szükséges cuccokat, akkor pont ugyanannyi hiba marad benne, mint bármi másban.
az én szememben (nyugodtan kövezzetek meg érte), az openbsd biztonságossága csak egy marketing szöveg.
- A hozzászóláshoz be kell jelentkezni
Ahogy ezt máshol már láttam:
++1
- A hozzászóláshoz be kell jelentkezni
A kérdés nem csak az, hogy a felrakott third-party cuccokban ugyanannyi hiba marad-e, hanem az is, hogy ugyanolyan egyszerű-e kihasználni, mint más platformokon... ;)
- A hozzászóláshoz be kell jelentkezni
elmeletileg, vagyis gyakorlatilag validaljak az osszes csomagok kodjat X idokozonkent, ami gyakorlatilag, ja nem ELMELETILEG azt jelenti, hogy jocskan javitanak bugokat.
- A hozzászóláshoz be kell jelentkezni
Ez szépen hangzik. Tudok is ilyenről, hogy volt már. Ellenben nem hiszem, hogy ez mostanság is komolyabb méretekben előfordul. De ha rosszul gondolom, akkor most valaki hozzáértő adna linket mondjuk az utolsó 3 ilyen validálásra, hogy lássam is, hogy ez nem elmélet, hanem gyakorlat?
- A hozzászóláshoz be kell jelentkezni
Erre van valami hivatkozas?
"The ports & packages collection does NOT go through the thorough security audit that the OpenBSD base system does. Although we strive to keep the quality of the packages collection high, we just do not have enough human resources to ensure the same level of robustness and security."
- A hozzászóláshoz be kell jelentkezni
akkor hazudtam!:D pedig csak 1 szot hagytam ki: alaprendszer :D anno lattam ilyen progress-metert a site-on, ami olyan lassan haladt, hogy akar az osszes csomagot is auditalhattak volna :P
- A hozzászóláshoz be kell jelentkezni
Ha jól emlékszem, volt remote root exploit az lpd-jükben, miközben kint volt a weben, hogy 6-8 éve már nem volt ilyen a default installban.
Szó szerinti értelmezésben ez igaz. Csak a szó szerinti értelmezés használhatatlan a való életben. Ez számomra olyan, mint ha a marketingesek véres verejtékkel kerestek volna egy kategóriát, amiről nagy reklámdumákat lehet nyomatni.
- A hozzászóláshoz be kell jelentkezni
Nem érdemes ezen görcsölni, ingyen van, kipróbálod, ha tetszik, használod, ha nem, nem.
Ha a szlogenen ennyire elakadsz, akkor szerintem inkább hagyd.
- A hozzászóláshoz be kell jelentkezni
Szerintem érdemes "görcsölni" rajta, mert ez szimpla átverés. Felrakod, megküzdesz vele, mert úgy gondolod, hogy biztonságosabb, mint a többi (ez a szlogenjük), majd egyszercsak kiderült, hogy egyáltalán nem jobb, mint a többi. Megtéveszti a leendő usereit.
- A hozzászóláshoz be kell jelentkezni
Definiáld a "biztonságosabb", "jobb" és a "többi" szavakat. :)
- A hozzászóláshoz be kell jelentkezni
Nem fogok linket keresni, de meg vagyok győződve róla, hogy ugyanezzel a témával kapcsolatban korábban neked már sikerült ugyanerre a véleményre jutni (átverés, nem igaz, stb), de akkor még nem okozott problémát fentebbi fogalmak definíciója :-)
(Én konkrétan még hittem az OBSD-ben akkor, amikor valamikor a 2.x környékén volt egy viszonylag hosszabb ideig tartó auditjuk, de ezt azóta rendesen hanyagolták. Speciel ha jól rémlik, a hosszútávú audit után nem sokkal találták meg a NetBSD-sek azt a kernel? bugot, ami speciel mindegyik BSD-t érintette, oszt az OBSD-sek a nagy kódellenőrzésben mégis elsiklottak felette. No mindegy, ez csak amolyan hangosan gondolkodás volt.)
- A hozzászóláshoz be kell jelentkezni
Arra próbáltam célozni, hogy az IT Security azért ilyen szinten messze nem egzakt "tudomány" (és persze soha nem is lesz az). Nem lehet egyszerűen és egyértelműen kijelenteni komplett (és komplex :) rendszerekre, hogy egyik biztonságosabb, mint a másik, csak részleteiben lehet következtetéseket levonni.
Ha például az a kérdés, hogy egy puffer túlcsordulásos hibát melyik rendszeren egyszerűbb kihasználni, FreeBSD-n vagy OpenBSD-n, akkor szinte biztos, hogy FreeBSD-n egyszerűbb exploitálni, mert nem tartalmaz olyan prevenciós megoldásokat, mint az OpenBSD W^X és az ASLR (az, hogy mindkét feature a PaX-ból származik most mellékes :). Ez alapján máris azt lehetne mondani, hogy az OpenBSD biztonságosabb, tehát ha az említett "többi" rendszer között szerepel a FreeBSD, akkor máris nem igaz az állítás.
Ezért is írtam fentebb, hogy a kérdés nem csak az, hogy a feltelepített plusz programokban ugyanannyi hiba van-e, hanem az is, hogy ugyanolyan egyszerű-e kihasználni... (egyébként néha látni az OpenBSD ports-ban potenciális biztonsági hibákra való patcheket, szóval még azt se lehet biztosra kijelenteni, hogy a third-party applikációkban azonos a hibák száma más rendszerekkel összevetve, főleg hogy ezt még számos más körülmény is befolyásolja, pl. a függvénykönyvtárakban lévő potenciális hibák, vagy a fordító kódoptimalizációja)
Szóval ennél jóval árnyaltabb a valóság és nem csak ez alapján lehet (és kell) egy rendszert értékelni. Az meg persze nyilván ettől függetlenül igaz, hogy az OpenBSD állítása/szlogenje megtévesztő és laikusok megvezetésére alkalmas, de a reklámszövegek már csak ilyenek... Intelligens mosóporok világában élünk. :)
- A hozzászóláshoz be kell jelentkezni
en visszakernem a penzemet:)
- A hozzászóláshoz be kell jelentkezni
Már visszaadták azóta :)
- A hozzászóláshoz be kell jelentkezni
"volt remote root exploit az lpd-jükben"
"Ez számomra olyan"
... mintha tokhulye lennel a temahoz.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Szép, érvekkel alátámasztott hozzászólás volt. Egyébként is érdekelne, hogy akarsz vitatkozni a szubjektív magánvéleményemmel?
- A hozzászóláshoz be kell jelentkezni
A seteket te valasztod ki.
- A hozzászóláshoz be kell jelentkezni
vehetné Theo kicsit változatosabbra is a bejelentések elején...
- A hozzászóláshoz be kell jelentkezni
A Linus féle bejelentésekben is általában csak a verziószám más :) Meg ha kalóz-nap van.
********************
"Aki nem backupol az tehetsegtelen :-)"
"...ha nem tévedek!" (Sam Hawkins)
http://holo-media.hu
- A hozzászóláshoz be kell jelentkezni
Mesélj, milyen remote exploitot ismersz OBSD-hez?
- A hozzászóláshoz be kell jelentkezni
csak arra céloztam, hogy a bejelntés elején a verziószámon és a kiadás számán kívül semmi sem változik.
- A hozzászóláshoz be kell jelentkezni
Egyre júzerbarátabb a telepítő :) Automatikusan particiókra osztja a hdd-t (ha kéred).
- A hozzászóláshoz be kell jelentkezni
i386-stable frissítve, amd64 majd holnap... vagy max azután :)
... illetve amikor nem döglik be a kernelfordítás vboxban :)
szerintem.
- A hozzászóláshoz be kell jelentkezni
hát ez egyelőre reménytelennek tűnik, úgyhogy amd64 bizonytalan időre elnapolva :)
egyébként valami 8 gigányi forgalom volt az eddigi 1-200 mb helyett, gyanítom a set miatt (más nagyméretű nem nagyon van fent). remélem múkodik annak, aki használja :D
szerintem.
- A hozzászóláshoz be kell jelentkezni
http://www.virtualbox.org/ticket/639#comment:29
ha minden jól megy, ma felkerül az amd64 is.
szerintem.
- A hozzászóláshoz be kell jelentkezni
amd64 kész. a következő update-nél valszeg lesz már xenocara is.
szerintem.
- A hozzászóláshoz be kell jelentkezni