Biztonság: Linux vs. BSD

Címkék

Állandó flamek jellemzik a Linux és a *BSD rajongók szóváltásait. Melyik jobb, melyik stabilabb, melyik biztonságosabb, stb. A Linux napjainkban népszerű operációs rendszer, szerintem számítástechnikával foglalkozók körében már mindenki találkozott vele, ha máshol nem az újságok hasábjain, vagy az Internetes hírekben. A BSD -kről kevesebbet hallani, kevésbé ismerjük. Viszont aki komolyabban foglalkozik az Internet infrastruktúrájával, biztonsági kérdésekkel, annak bizony ismerősen cseng a BSD szó. Az ISP -k (internet szolgáltatók), Ipv6 tunnelbrokerek előszeretettel használják.

Miért is?

Mert biztonságos, az AT&T Unix -án alapul, ingyenes, borzasztóan terhelhető (pl. az ftp.fsn.hu amire nyugodtan mondhatjuk hogy Európa legforgalmasabb FTP site -ja, FreeBSD rendszeren fut gond nélkül, napi adatforgalma 400GB, havi szinten elérheti a 15TB -ot). Előtte Linux -on futott és tudtommal akadtak vele stabilitási problémák).Tehát egy nagyon robosztus, nagy rendelkezésreállású, stabil, biztonságos, ingyenes rendszerről van szó. Ez kielégít minden mai szerver operációs rendszerrel szemben támasztott követelményt. És nem kell elfelejteni, hogy egyre nagyobb teret hódít az otthoni gépeken, mint desktop operációs rendszer.


A napokban jelent meg a ZDNet -en egy cikk, amely a BSD rendszereket hasonlítja a Linux -al biztonsági szempontból. Érdemes elolvasni.

A cikket megtalálod itt.

Hozzászólások

a *BSD eseten nem tudsz olyan kernelt forditani, ami nem fog mukodni kesobb. Linuxnal lehet. Lehet, hogy vmi ilyen hiba volt. a *bsdk nel nem szokott ilyen lenni, hogy nem fordul le egy kernel (jo a -currentnel neha, de az mas vilag:).

Az rtl8139 driver 'védelmében' :)) csak annyit: ha jól tudom, ebben az esetben a föbünös maga a kártya. Szóval talán nem a drivert kéne hibáztatni, az egy kicsit a 'sz*ból várat építeni' esete. Lehetne mondani, hogy akkor ne csináljanak rá drivert, mert azzal a rendszer potenciális stabilitását veszélyeztetik, de a Linux (szerintem helyen) nem ezt az utat követi.

Így megfelelö választási lehetöség adódik a sziklaszilárd, de eszköztámogatása miatt elsösorban servernek alkalmas BSD és a meg mindig eléggé stabil, de "allround" Linux között. Egy otthoni windows-használó számára - kis kompromisszumokkal - lehet alternatíva a Linux, de a BSD már sokkal nehezebben, és a lényeg szerintem a választás lehetösége.

A Linux kernelek stabilitásával kapcsolatban igazad van, de most úgy látom, hogy az új kernel-maintainerre nem az a jellemzö, hogy elkapkodja az újabb verziók megjelentetését.

Sure. Viszont azt el kell mondanom, hogy lehet viszonylag jó kártyát is építeni a rtl8139 köré. Erre példa a D-Link gyártó rtl8139 alapú NIC -je, ami ugyan nem üti meg a 'jó' kártya fogalmát, de azt mondhatjuk, hogy közepes. Ez azért érdekes, mert a cégnél ahol dolgozom volt egy 200-250 gépből álló szállíttmány realtek (noname) kártyákkal. Sajnos a project nem sikerült, mert a hálózat állandóan lehalt. Kimértek a kollégák mindent, de még mindig collision -ból állt a hálózat. Gyanús lett a kártya, kicseréltük D-Link (rtl8139 ez is) -re és megszünt a probléma.

Igazad van. Kimaradt két szó. Az _egyik_ legforgalmasabb _linux_ ftp site -ja. Bár ez mit sem von le a BSD -k érdeméből, hiszen a havi 15TB egy közepes internetszolgáltató forgalmát teszi ki a BIX statisztikájában. (idézet: http://www.guska.hu/publication/lme-infoszfera Magyar Linux terjesztő Központ link)

Félreértés ne essék, nem temetni akartam a Linux -ot, saját magam is használom. Itthon a gépemen mindent Linux alatt végezek. Szervernek Solarist, Debian -t használok, elvétve van OpenBSD -s gépem is. Mindössze annyit akartam mondani, hogy jelen pillanatban a biztonságot tekintve semmi kétség, hogy a BSD (főleg az OpenBSD) messze a legjobb választás, és ha nagyobb forgalmú szervert terveznék üzembe állítani az lehet, hogy nem Linux lenne. Ez a gép sem véletlenül került Solaris alapra. Ez egy dual processzoros gép, adaptec alaplapi vezérlővel. A 2.4.0 -es kernel körülbelül 2-3 óra üzem után kernel oops -al elszállt, a Solaris gyakorlatilag április óta leállás nélkül üzemel rajta, ugyanazon a vason. Csak RAM bővítés idejére lett lekapcsolva kétszer fél órára. Köztudott, hogy a Linux kernel 2.2.x sorozatának gyenge a multiprocesszoros támogatása. A 2.4.x kernelekben már jobban sikerült. Viszont amikor én átálltam a 2.4.x -re egy csalódás volt. És ha megnézzük a 2.4.x eddigi majdnem egy éves pályafutását, akkor akár sírhatunk is. Katasztófális. Talán most néz ki úgy, hogy észbe kaptak a fejlesztők, és kicsit lassabban haladva, jobban megfontolva adják ki a kerneleket (hála Tosatti -nak). Viszont amit mondok nem légből kapott dolgok, tesztek támasztják alá. A Linux kernel azóta versenytársa a FreeBSD -nek teljesítmény/terhelhetőség szempontból, amióta Arcangeli megírta az új VM -et. Előtte a Linux nagy terhelésnél a swap -olással leölte saját magát. Pár hónappal ezelőtt volt egy FreeBSD vs. Linux összehasonlítás, érdemes elolvasni. Itt a két rendszer fej-fej mellett végzett, viszont azt nem szabad elfelejteni, hogy a Linux filerendszere aszinkron volt mountolva, ami ugye nem egy életbiztosítás. Tehát összegezve: semmi bajom a Linux -al, a 2.4.17 -re lassan kinövi a gyerekbetegségeit, de! fenntartom, hogy a lassabb haladás a fejlesztésben előbbre visz mint a napi kernel release (ugye emlékszünk még a dontuse, buggy kernelekre?).

Lehet, hogy a Linux több eszközt támogat, de ez sokszor a stabilitás rovására is megy sajnos. Vannak olyan gyatra Linux driverek amikre a "rossz" jelző is csak dícséret (lásd. rtl8139, 8139too). Aki próbált mát realtek hálókártyával szerelt Linux szervert hosszabb távon nagy terheléssel hajtani, az tudja miről beszélek (nem kell a rosszindulatú hozzászólás, hogy "Nekem 3 éves uptime -om van rtl8139 -el, es 70 -es a load állandóan"). Amúgy se tudom mi van a Linux -al mostanában, a kernelek egyre rosszabbak, nem fordulnak, ha fordulnak akkor előtte agyon kell patch -elni, visszavonják őket, és 'dontuse' jelzőt kapnak. Nem tudok a 2.4.x szériából olyat mondani, amit biztonsággal lehetne használni. Otthon a 2.4.6 van a gépemen (tudom hogy ptrace bugos, de nincs más user), viszont nem tudom, hogy mit kéne helyette választani.

Kicsit el kéne gondolkodni a Linux fejlesztőknek, kevésbé kapkodni, nem napi kernel release -ket csinálni. ( mielőtt még valaki szentségtöréssel vádolna kijelentem: Ez az oldal nem Linux (csak) oldal )