AvalonDC wrote:
您好像有點激動歡呼
因為Linux套件有許多套
所以我有說明
你仔細看一下就會看到我並沒有針對哪一套
我想問題就在於 *BSD 的釋出都是以類似 distribution 方式, *BSD 都有自己獨立的 kernel project, 簡單的說, 雖然都是 BSD 家族, 但是現在三者的 code 都重新編寫過, 雖然互相參考, 但是都是獨立的, package 管理部份共用 ports; 而 Linux 剛好相反, Linux 各 distribution 都是使用同樣的 kernel, 由 kernel.org 維護, package 管理則有 rpm、apt、portage等, 所以您所說 "我只用過OpenBSD 感覺比Linux嚴謹許多 安全性也高出許多" 這句話就有很大的問題, 如果是比 kernel, 那兩者差不多安全/危險; 如果是比 distribution, 那您應該指名道姓是哪個 distribution, ex: "我只用過OpenBSD 感覺比 Fedora Core 嚴謹許多 安全性也高出許多", 這樣我覺得還 ok, 也許實務上這句話還是見仁見智, 但是至少比較對象是同等級的.
我自己其中兩台server就是Multi-Processers
但是在沒有使用者連線時
ps ax數量只有不到一頁
這是調教維護的成果
daemond有漏洞
越多支daemond同時運作同時存在的漏洞就更多
而且要檢查系統異常也比較麻煩
怎麼會說daemond數量和安全性無關呢?
一個管理員管理50支daemond
跟一個管理員管理5支daemond
每天都需要去注意修補程式
哪一位管理員比較輕鬆不容易出錯就很明顯了
請勿假設管理員失職
那本來就是不應該發生的
歐萊禮許多Hacks or Hacker書籍都有提到過這點
改天你去天瓏可以找找
我們一起去找也可以
順便一起看看書用功
1. 我手邊有約 10 台 server, gentoo 跟 freebsd 都有, 講真的, process數跟安全性一點關係都沒有, 真要說 daemon 是不是會造成被遠端攻擊的危險, 倒不如看看 netstat、sockstat 還比較實際點.
2. linux kernel 2.6 的 kernel process 你要怎麼藏? 藏掉又如何?
3. 多數系統安全的書籍應該是提到 "讓系統單純化", 這根本不是看 process 看的出來的, 例如 apache2 要視使用那種 MPM module 來決定要 prefork 多少 process 出來, 選傳統一點的 MPM, 如 prefork 之類, 量大一點的站, 單是帶起來就要幾十支了吧, 更不要說如果用 lighttpd+php, 背後還要一堆 fast cgi 的 php 跑在那邊等著, 跑這些東西能夠用 process 來評估安全性嗎?? 還是如此就能有結論, 用 mod_php 比用 fast cgi 安全, 因為 process 少??
4. 要安全, SA 自己先訂好管理條約, 然後才是系統, 事實上, 多半脆弱的是 SA, 不是系統.
監視緩衝區溢位這個項目的確是OpenBSD的工作項目之一
而且這已經不是新聞
接觸OpenBSD久一點的人多少都知道
Theo de Raadt 也曾在訪談時提過這件事情
OpenBSD的安全性一直都是他的理念
也是他的堅持
ols3前輩昨天也在自由軟體交流網提到他的安全性這一點
您可以參考參考
他自己本身也是OpenBSD的愛用者喔!
ols3前輩說的話應該算數了吧01
1. buffer overflow 終究就是個 bug, 可能是當初記憶體沒算好、沒預期用量會大某個程度、programmer 當時打瞌睡少打一個零, 你可以去看看各大安全網站過去的紀錄, buffer overflow 捅出來的大洞不少, 但是也有很多是要特定條件下才能成為弱點; 當然這幾年資安這個議題越來越被重視, 的確跑出一堆 soft/hw 的技術試圖更快解決/發現問題, 但是真有這個 "team" 嗎? 您上篇可是說 "OpenBSD就是一個例子 光是緩衝區溢位的部分就用了一組人員專門在監控", 方便的話給個網址參考一下吧, 我在OpenBSD 網站上還真的找不到這個 "team" 的存在啊.
2. ols3 提到 OpenBSD 安全沒錯, 但是他沒用 OpenBSD 跟其他 distribution 比較, 甚至拿 OpenBSD 跟 "一個 OS kernel" 比較安全性啊.
另外
社群的確是很強力的支柱
但也別忘了社群的素質是否優良是一大關鍵
我自己也是好幾個社群的成員
但我自己都不敢表明
因為跟那些駭客級成員比起來根本不足掛齒
除了社群規模之外
用心程度也是非常重要的
OpenBSD雖然規模相對很小
但他發布修正檔案的速度都蠻快的
並不輸給其他規模龐大的套件
不過他需要發布的修正檔大都是其他Daemond的
最近的一個是Sendmail的修正檔
但這是Sendmail的問題
並不是OpenBSD自己本身核心程式碼的問題
所以規模大小並不完全等於產品的品質
微軟這麼大
規模遠遠大於許多民間的社群
但您有覺得他的產品品質有多完美嗎???
1. 你說的是 hacker or cracker? 如果是前者, Linus 是 hacker, Richard Stallman 是 hacker, Daniel Robbins 是 hacker, Theo de Raadt 也是 hacker(這位您應該很熟吧?), 這些人都頂尖的技術人員, 而且他們也都自稱是 hacker, hacker 並不是負面名詞, 而是這些對技術執著的人的代稱; cracker 才是您所指的惡意破壞的人..說真的, 您有點過度吹捧那些 cracker 了, 您何不想想 community 裡面有 Linus, Richard Stallman, Daniel Robbins, Theo de Raadt 這些人物, 只要 SA 好好跟 community 互動(至少該定的 mail list 要訂), 確實做好系統更新, cracker 要破門而入也不是太容易的事情吧..
2. 您可以訂閱一下 Debian 跟 Gentoo 的 security mail list(Gentoo 是放在 gentoo-announce, 會冠上 GLSA 開頭), 看看 OpenBSD 是不是每次都比較快, 就我自己訂閱的感覺, FreeBSD、Debian、Gentoo 大洞的 patch 都非常快, 但是 OpenBSD 這種要到各 OSS community 叫窮的 distribution, 不得不讓人對他未來的維護感到害怕, 就如同 FreeBSD 4 官方說快要停止維護, 所以大家都在逃命一般..
3. 我不會否認 OpenBSD community 用心的程度, 但是如果您觀察過我提的這幾個community, 也許您就不會把 用心、品質 這些東西拿來比較, 我相信這些社群的人都很用心, 不過人數終究是大問題, 您可以看到一堆 OSS 倒地不起都是因為核心 developer 人數少, 分工細(可能某些地方只有一人負責), 當有人忙於工作、學業或是發生意外時, project 就會停滯很久, 像是 coLinux、PearPC 就很明顯.
ps. 我並沒有在批評任何一個系統的意思, 請您別激動很樂
ps2. 雖然這是資訊人的通病, 喜歡在語句中參雜一些英文單字, 但這並不表示比較"專業", 在演講時如此, 寫論文時如此, po文章時也是如此, 多語文參雜只會讓讀者不舒服甚至看不懂, 進而猜測出錯誤的意思或是根本不看(當然, 也有許多讀者會因此很崇拜作者, 但這大都屬於狀況外的讀者). 所以請回文時盡量動一下腦筋, 把英文翻譯成中文, 這並不會很難, 但可以讓其他不是資訊業的朋友也能了解全文的意思加油
1. 我想您拿 OpenBSD vs. Linux 本身就是比較不當, 加上您的結論: "我只用過OpenBSD 感覺比Linux嚴謹許多 安全性也高出許多", 其實既然比較了, 是不是批評應該就很明顯了.
2. 我想用語是個人習慣, 就如同侯捷的書籍在有可能造成誤會的名詞都會以原文表示, 以我們討論到 distribution 這個詞來說, 的確有人翻譯為套件, 但是 rpm、apt、portage 也常被人稱為 "套件管理程式", 把其打包稱為套件, 這是中文容易混淆的地方, 更不用說其實還有些大陸網友的資訊用語與我們十分不同; 當然不可否認有時候的確直覺就打了腦袋裡想的原文上去, 真要說賣弄, 您不如看看內文我對 Linux 的了解、實務經驗吧.
3. 就事論事吧, 不要扯到用語、這些不相干的事情上
