Názory k článku Obavy o bezpečnost Linuxu
-
Co je to "normalni user bezne potrebuje"? Napriklad defaultne zapnute filtrovani odchozich spojeni pouze a jenom zpusobi, ze vsechny aplikace budou pouzivat port 80 - to je skutecne super vec. Napriklad "normalni user" s povolenymi jen nekterymi aplikacemi muze bezpecne pracovat na pracovni stanici s OS Windows 2000/XP. -
cm3l1k1 (neregistrovaný)muj bezny desktop ma uptime dokud nevypadne proud na dyl jak 15 minut a taky mam system up-to-date kazdy den. Ale u vas to bude asi tim, ze jste dlouho nezavital na windows update. A jeste by me zajimalo jak vite ze mate system up-to-date?? prozradte mi ktera aplikace ve windows overi vsechyn apliakce, ovladace, knihovny v systemu a vypise vam jake jsou zastarale?
problem je mezi zidli a klavesnici, ale ta zidle sidli v budovach microsoftu -
Ostap Bender (neregistrovaný)Je tu ještě jedna výhoda: opravu této chyby jsem měl nainstalovánu ještě předtím, než jsem zaregistroval upozornění na ní na odborných serverech. Srovnejte si to s rychlostí záplatování MSIE.
Nějak jsem nezaregistroval, že by někdo soudný někdy tvrdil, že opensource programy jsou bez chyb. Autor článku asi žije v nějakém paralelním světě. ;-) -
A kolik lidi na svete umi takto pocitac nastavit? Mimochodem, opravdu ve sve zabednenosti si myslite, ze totez nelze provest s libovolnym beznym desktopovym OS? A kolik instalacnich setu operacnich systemu (coz zahrnuje mimo jine i distribuce Linuxu, aby to bylo jasne) odpovida teto zbozne defaultni konfiguraci? Muzete jmenovat alespon jeden distribucni set OS, ktery se takto nainstaloval? (a mam-li byt hnusnej, tak v pripade firemni hierarchicke struktury (mluvim o firemnim reseni firmy Microsoft) mohu na klienta doslova vnutit mnozstvi nastaveni (ktere nelze zmenit, ani modifikaci... - co treba lehce modifikovany IP stack), ktere v Linuxu odpare uzivatel pomoci jednoducheho navodu hned po rebootu - kolik lidi to umi v MS Windows?) Dekuji... -
Ostap Bender (neregistrovaný)Nevím, co tím myslel předřečník, ale obecně je u aktualizací pod MS Windows problém s otevřenými nebo jinak uzamčenými soubory, které díky tomu při updatu nejdou přepsat. Pokud nejde program, který má dané soubory otevřeny, po dobu updatu ukončit, je řešením obvykle jejich pozdější aktulizace během startu počítače, tzn. reboot.
Unix-like systémy mají přístup k souborům řešen odlišně, nemusí se potýkat s nepřepsatelnými soubory a tudíž tímto problémem netrpí. -
Muzete mi tedy rici, jak smaze OS Linux pametove namapovany soubor? A proc, kdyz mam spustenu binarku mi odmita prepsat fyzicky soubor s binarkou necim jinym - treba novejsi verzi? Nepletete si "platnost" otevreneho handle datoveho souboru (s neexkluzivnim zamkem) s tim, co byste rad videl i binarek, ale z principu to nejde?
-
Ostap Bender (neregistrovaný)
Obávám se, že vám to říct nemohu. Jednak nevím, co je to "paměťově namapovaný soubor" (i Google s Jyxem mě nechaly ve štychu), jednak nevím, jestli nepoužíváte nějaký neobvyklý filesystem. Vím, že na Linuxu lze zamknout soubor tak, že ho nepřepíšu ani neotevřu, dokud ho daný program neuvolní (neptejte se mě jak, pod tímto OS píšu věci maximálně v Javě), nicméně mimo Sambu jsem se ještě nesetkal s programem, který by to využíval. Jakékoli aktualizace spustitelných souborů vám na Linuxu udělám bez problémů bez jejich shození. Fígl je v tom, že při přepisu se vám na disku vytvoří nový soubor, zatímco programy, které mají otevřené ukazatele na původní soubor pracují stále s původními daty; původní soubor je uvolněn až v okamžiku, kdy je uzavřen poslední ukazatel na něj, proto z něj lze nadále číst i zapisovat do něj. Je to situace v podstatě totožná jako když mažete hardlink. Proto při aktualizacích není problém přepsat - řekněme - spuštěného Apache, který si mezitím vesele vyřizuje požadavky, a až po dokončení aktualizace jednoduše webserver restartovat. Zkuste si aktualizovat IIS bez shození procesu inetinfo.exe...
Můžete mi prozradit, jak provádíte aktualizace vy? Nevím o balíčkovacím systému, který by počítal s tím, že by některá programová binárka nebo cokoli jiného nešlo za chodu přepsat.
-
"memory mapped file" neni neznamy pojem... (hned prvni odkaz Vas zasveti do problemu). V Linuxu odpovida volani mmap. Nevim o tom, ze by spousteni binarek na ext3 FS bylo exotickym jevem... naopak povazuji to za docela obvyklou operaci, co rikate?:-)
K tomu, kdo by to pouzival... - kazdy kdo chce efektivne pracovat s daty "v souboru" stejne jako by byly v pameti a proc alokovat prostredky hostitelskeho prostredi dvojnasobne... vidte? A kdo umi efektivne vyuzit pointerovou aritmetiku je jako ryba ve vode... Pravda, v zacatecnickych ucebnicich programovani se tohle neuci...:-) A je opravdu velmi podstatne JAK se o soubory starate, resp. jaka volani a v jakem poradi aplikujete... Navic vy jste tento problem zuzil na uzivatele ROOT... nehezka podpasovka, navic nepresna... rekneme, ze mam aplikace mprime (www.mersenne.org) a bez preruseni prace jako uzivatel (!= root!) ji chci zaktualizovat - urcite mi reknete jak, vzdyt je to prece tak samozrejme a jednoduche...
-
BTW: If you have multiple processes manipulating the data in the same file concurrently, you could be in for troubles. (zdroj)
-
Ostap Bender (neregistrovaný)Takže je to jasné, každý uvažujeme o jiné situaci. Vy uhýbáte od původního tématu, na které jsem reagoval, k obecným situacím, já se tématu držím. Řekl bych, že v tom je celé nedorozumnění.
Když už jsme u toho, já bych si o sobě nikdy nedovolil tvrdit, že jsem programátor. Takže se nevytahujte. ;-) -
Ani v kontextu aktualizaci to nevyjde nastejno... jednoduse proto, ze se zadny prepis nejedna a to nejen ve smyslu alokacnich tabulek, ale take fyzickeho umisteni na disku... A prave z toho pohledu nechapu, jaky je principielne rozdil, ze necham vsechny alokovane inody alokovane puvodnimu procesu dokud ten program bezi nebo jinymi prostredky vlastni tomu konkretnimu hostitelskemu OS zajistim to same... Odlozeny (delayed) zapis nebo odlozeny delete, pripadne asynchronni I/O doufam ve Win32 znate...
A pokud si myslite, ze ten "UNIX-like" zpusob je nejlepsi na svete, tak Vas mohu vyvest z omylu, je to mimo jine velmi dobry zpusob, jak schovavat nepratele na disku... - nemate moznost je zrusit, pokud jsou sikovne zapasovany v kernelu, tak o nich ani nevite, zadny User-space nastroje je nezdetekuje atd... - nic neni dokonale...:-)
A pokud mate pocit, ze jsem se chtel pohadat proto, ze jste se nebyl schopen se presne vyjadrit, je mi lito... technicka debata je mimo jine o presnych terminech a presnych tvrzenich, jinak pozbyva smyslu...
-
Ostap Bender (neregistrovaný)Naopak. Z pohledu správce cca 2000 počítačů s instalacemi Win98 a WinXP toho vím celkem dost. Ne z programátorského hlediska, ale z hlediska jejich správy. Naproti tomu v Linuxu se stále cítím jako začátečník a nikdy jsem nebyl zapálený evangelizátor. Přesto mohu srovnávat. A o Win32 API něco málo vím, i když neprogramuju. Proto vám můžu s klidem říct, že asynchronní zápis vám bude při potřebě přepsat aktualizovanou binárku platný jak bota hadovi.
-
Pak je to jasne... z pohledu spravce o podobnych features nic nevite... vite, on treba ten zpozdeny zapis je jaksi by-design v systemech MS Windows defaultne... Jiste vite, ze pres vyjmutim USB Mass storage zarizeni ve Windows 2k pripadne 98 musite zarizeni odpojit, jinak se potencialne ritite do velkeho pruseru ohledne dat na tomto zarizeni... a hadejte diky cemu... no prave diky delayed write operacim... jenze vy o tom zrejme nemate tuseni a proto to smahem odsuzujete, pripadne povazujete za nepodstatne okolnosti...
Jak je videt, nejenom zde, velikost pocitacove site, kterou osoba "spravuje", nic nerika o tom, jak svoji praci zvlada... jinak k tomu "ohromujicimu" poctu stanic... zajimave, asi byste se mel nechat zamestnat Billem a nebo zajimave cestujete casoprostorem... protoze jinak byste nebyl schopen opravdu radne 2k pocitacu spravovat a to ani s vyuzitim vsech dostupnych administrativnich prostredku, ktere tato platforma pro hromadnou spravu nabizi... ostatne i sam Microsoft oficialne deklaruje radove jine cisla na jednoho Administratora
PS: Uz jsem si zvykl, ze kazdy, kdo jednou nainstaloval OS si rika administrator...:-)
-
Ostap Bender (neregistrovaný)Pokud někdo ze skutečnosti, že koza má čtyři nohy, začne vyvozovat, že ryba neumí plavat, dojdou argumenty velmi snadno. S tím se totiž logicky opravdu polemizovat nedá.
K té správě - nikde jsem nepsal, že jsem na to sám. A o mých schopnostech či neschopnostech víte prd. -
Ale jdete... dovolim si pripomenout Vase nepravdive tvrzeni: Unix-like systémy mají přístup k souborům řešen odlišně, nemusí se potýkat s nepřepsatelnými soubory a tudíž tímto problémem netrpí.. Coz byl zaklad nasi polemiky, kterou jste ale bohuzel nijak nevyvratil a posleze zbabele zuzil na upgrady pomoci balickovacich systemu pod rootem...
-
A muzete mi rici k cemu je mi, ze muzu smazat soubor s binarkou bez stopnuti procesu, vytvorit soubor novy (tehoz jmena) a tvarit se juchave, kdyz stejne pote musim udelat to, ze dotycnou aplikaci zrestartuji (protoze jinak ta aktualizace pozbyva vyznamu!) a delaji to tak i drive zminene balickovaci systemy, resp. delaji to aplikace, jejich tvurci opravdu vedi, co je treba a co vlastne chteji dosahnout... cimz chci rici, ze ne vsechny SPEC fily v pripade RPM systemu neco takoveho obsahuji, ale to je spise omezenost a problem jejich tvurcu... je to skoda, ze administratori (nehodni sveho jmena) netusi, co vlastne svymi zasahy sleduji a co vlastne chteji delat a jak...
Stejne tak se mylite v tom, ze odlozeny zapis se tyka jen write-cache (tedy mimo kontrolu userspace programu)... ale tady nejsme ve skolicim stredisku
Vytykat jednomu OS neco, co umi druhy, zejmena pokud nabizi ekvivalentni prostredky (a obcas i systemove a systematicky lepsi) k dosazeni tehoz cile - v jinem pohledu bychom to nazvali firemnimi standardy - mi neprijde jako fer. Jak si muzete povsimnout, celou dobu jsem se nezastaval ani Linuxu ani MS Windows OS, pouze jsem mluvil o teto problematice z pohledu Administratora (a tedy cloveka na urovni Vaseho predrecnika) s poukazem na features, ktere jsou dostupne v danem OS...
-
Je to dobré k: když máte server, na něm pracující uživatele a chcete nějaký program aktualizovat. Uživatelé, co si pustí program po aktualizaci budou mít novou versi, a ti pracující si vesele můžou užívat starou versi bez toho, aby K VŮLI aktualizaci museli svoji práci přerušit. Jde tohle na Windows? -
Ostap Bender (neregistrovaný)Nevím, článek na mne působí jako pokus o FUD.
Stejně jako kterýkoli jiný článek tohoto autora...
Stále si říkám, jestli ho platí Microsoft, nebo jestli takhle plká zadarmo.Lupo, nemohla bys v RSS vypisovat i autora článku? Sice pana Bendáře už celkem spolehlivě poznám podle nadpisu, ale mít jistotu by celkem bodlo, nerad bych, aby mi uteklo něco, co má skutečně hodnotu.
-
Psat panu Bednarovi nejake vysvetleni, doplnujici informace je hazeni perel svinim. Bednar je klasicky pripad prebujeleho ega, sebevedomy ignorant /nechci psat zmrd/, ktery neni schopen uznat chybu natoz alespon v diskusi odpovedet. Ja bych se stydel pod takovy clanek podepsat.
Opravdu stoji za uvahu proc Root a Lupa uverejnuje clanky od takoveho pisalka, ktery svymi clanky siri FUD o GNU/Linuxu. -
Driv jsem pouzival linux misto windows a byl jsem v klidu. Ted pouzivam fvwm2 misto KDE a jsem porad v klidu. Zadna zmena :-).
Moderni desktopova prostredi se snazi vypadat jako windows. Koho prekvapuje, ze se jim to dari ? :-)
A ted vazne: pouzitelne uzivatelske ucty jsou jednou z hlavnich vyhod linuxu proti windows. Uvidime, kolik lidi skutecne ma KDE pustena na roota ... -
LK (neregistrovaný)Myslím, že tvrzení autora je zavádějící. Pod Unixem (čili i v Linuxu) je praxe silného oddělení práce jako root od práce pod běžným uživatelským účtem. Prakticky všechny aplikace s tím počítají a nemají problém.
Na Windows je situace zcela opačná. Windows XP (jak Home, tak Professional bez domény) mají jako výchozí stav to, že uživatel pracuje pod administrátorským (root) účtem. Mnoho aplikací prostě ani nepočítá s variantou, že by měly fungovat pod omezeným (uživatelským) účtem a hrabou na řadu míst, kam nemají. Situace je dokonce tak dramatická, že ve Windows Vista je výchozí stav takový, že v nastavení systému je zaškrtnuto "uživatel Administrator není administrator". Nejdřív jsem myslel, že si ze mně někdo dělá legraci, ale bylo mi vysvětleno, že většina uživatelů Windows běhá jako administrator a tak se tomu soudruzi z Redmondu brání takto.
Čili abych to shrnul - zatímco naprostá většina všech domácích wokenic (a v menších sítích také) běhá pod superuživatelským účet a jen tak to změnit nepůjde, u většiny Unixů je tomu přesně naopak. Proto bych z jedné díry, navíc špatně zneužitelné (pro to, co jsem napsal), nedělal trend. -
Pin007 (neregistrovaný)Tak jednoduche to take neni, zalezi na tom, v jakych skupinach jste a co vse muzete provadet/spoustet.
Jinak to, ze se obevuji chyby v open-source to je prece jasne. Nikdo neni dokonaly. V pripade open-source, ale mate na vyber, nemusite pouzivat KDE, je tu mnoho jinych, v nekterych ohledech lepsich wm. V pripade Windows, resp. sw od Microsoftu, na vyber mnoho nemam. -
neldor (neregistrovaný)Ne tak docela. Pod unixem normalni uzivatel neotevre treba privilegovane porty, takze se z jeho masiny nemuze stat open relay pro rozesilani spamu, ani anonymni ftp ci http server (musel by pouzit nestandardni porty coz ovsem vyrazne snizuje riziko ze je nekdo najde aby je mohl zneuzit), nemuze otevirat raw sockety, takze nemuze byt pouzit k utoku nejakymi upravenymi IP pakety, defakto si diky tomu ani neposle zadny icmp paket pokud nepouzije standardni suidnutou binarku, nemuze ani zmenit nastaveni iptables aby mohl vubec nekdo na ty otevrene porty.
A jakmile bude v linuxu firewall defaulnte hlidat i odchozi traffik a budou povolene jen konkretni aplikace, uz si takovy zakerny kod spusteny pod non-rootem neskrtne skoro vubec ;-). -
Honza (neregistrovaný)Kolik je podle vas procent lidi, kteri pod Windows pracuji jako normalni user? Kolik se uz o tomhle napsalo... neni zbytecne zase o tom diskutovat? Samozrejme ze NEJAK to taky jde, pouzivat Windows pro bezne cinnosti jako user a ne admin. Ale proste to ma asi trochu moc "much" a proto to spooousta lidi nedela - takze otevrene je vsechno a o smysluplnosti bezpecnostnich nastaveni pro usery muzeme akorat tak teoretizovat. Na rozdil od systemu *nixoveho typu, kde uzivatelska prace pouze pod userem je zcela bezna, a pod rootem se delaji akorat rootovske cinnosti, takze ma smysl nastavit bezpecnostni politiku, a muze se o tom aspon diskutovat a dostavat v diskusi nadherne argumenty o "pocitacich odpojenych od elektriky"
-
anonymníNo já používám Windows XP jako User v práci, respektive jako Power User doma (zatím kvůli Cakewalku, nemám to připojené na internet). Asi proto, že jsem začínal na svém prvním počítači s DEBIAN 2.1 SLICK. Vystačíl bych i s RUNAS pomocí konsoly, ale teď poslední dobou používám Virtual Desktop Toolbox, který umožňuje mimo jiné přihlášení vícero uživatelů na jednom počítači. A tak mohu mít přihlašeného Administrátoru v libovolném grafickém shellu, třeba Blackboxu. Chce si to pohrát nastavením práv u instalovaných aplikací. Třeba takový Winamp, když ho spustíte po instalaci s právy obyčejného uživatele, má nepoužitelnou Library. Jinak XP jsou ve výchozím nastavení strašné. Nějaký debil od MS si řekl, že bude nejlepší před uživatelem co nejvíce skrýt, že XP jsou normální multi user OS s docela propracovanými právy. Až po letech mi někdo poradil, jak v XP nastavovat práva k objektům. Já to dělal pomocí unixového shellu díky nainstalovaným Services For Unix. Samozřemně unixové chmod nedokáže tak úplně nastavit NT práva.
-
neldor (neregistrovaný)Jenze to je vas vlastni problem. Kdyz vlasni blbosti prijdete o vlastni data, je mi to srdecne ukradeny. Jakmile mi ovsem zacnou chodit z vaseho zombie kompu spamy, tak mi to uz vubec jedno nebude. Kdy konecne lidi pochopi, ze zabezpeceni pocitace (pod kazdym OS) je nutne ani tak kvuli jejich vlastnim datum, ktera jsou ostatnim ukradena, ale kvuli tomu aby jejich komp nemohl skodit tisicum jinych??
-
BrainLess (neregistrovaný)Ale problem je preci v necem uplne jinem. Pokud nejsem diletant tak pravidelne zaplatuji OS a je jedno jestli Win like OS nebo Linux like OS. To ze se vyskytuji chyby je normalni a vzdy se vyskytovat budou. Problem je v tom ze v Linuxu se ty chyby opravuji diky logice sireni/vyvoje tohoto OS mnohem rychleji.
Navic pokud mohu srovavat administraci linuxu a windows ( oboji tak trochu delam ) prijde mi to v prvnim pripade mnohem jednodussi a efektivnejsi ( samozrejme subjektivni nazor ). Windows ac se snazi se jeste nevyporadali ( a z principu ani nemohou/navrh kernelu ) s vecnym reboot marasmem. Chapu ze pro parana doma je to v celku suma flek jestli rebootuje ci nikoliv, ale pokud na danem serveru provozujete nejakou aplikaci zakaznici si po vas zadaji pres SLA dostupnost a tady se nekdy hraje i na desetiny procenta viz napriklad 99.99% -
Karel (neregistrovaný)Tak nevim jestli tak striktne lpite na prepisovani, kde to samozrejme nelze, nebo na aktualizacich, o kterych byla rec puvodne. Prepsat namapovany soubor sice nelze (nebo jak kde), ovsem smazat soubor a pote vytvorit novy se stejnym jmenem samozrejme jde i kdyz je to spustena binarka i kdyz to dela uzivatel!=root v miste, kde ma prislusna prava. Cili aktualizace se udela jednoduse tak, ze se binarka smaze a nakopiruje se tam nova a je jedno, jestli je ten soubor spusten, mmapovany apod.
Mozna si o tom neco prectete nez budete machrovat s pointery. -
Karel (neregistrovaný)Pane Janousek, vec se ma jednoduse. Na unix-like systemech s inody lze smazat binarku spusteneho procesu a nakopirovat pod tim jmenem jinou, na win toto nelze. Nemuzete provest update, dokud ten proces neukoncite, coz je docela problem kdyz ma bezet treba 2 tydny. O tom byla puvodni debata a toto je fakt. Nevim proc porad odbocujete od tematu a musite si honit triko pred nekym, kdo neni programator a tak je dle vas asi menecenny. Proste uznejte, ze o tom zas tak moc nevite a je to.
A odlozeny zapis (slava, ze uz ho ms taky objevil) s tim vubec nesouvisi, to je proste jen write-cache, ktera na win drive citelne chybela.
I kdyz mi je to docela jedno, porad mi z toho vychazi, ze win maji co dohanet v pokrocile podpore fs, i kdyz samotny ntfs toho umi hodne, ve win je z toho videt docela malo. -
Karel (neregistrovaný)Kdyz vam jde o dostupnost serveru, tak takova aktualizace pomuze, pokud je treba pred serverem neco jako inetd. Potom jsou nove navazana spojeni obslouzena novou verzi serveru, zatimco stavajici spojeni stale obsluhuje stara verze. Tohle na win proste neudelate pokud nedate jine jmeno nove binarce a nenastavite ten inetd (nebo neco podobneho).
To ze je moznost odlozeneho zapisu i pres winapi z userspace na veci moc nemeni. -
Douglish (neregistrovaný)Hmm, takovych programu a vseho kvuli Mrkvosrotu.
Ja mam jen ten firefox + ad-block + ten mozek teda :)
Na serveru (routeru) zadne omezeni, resp jen blokuju IP adresy, ktere najdu v logach, ktere se snazi o nejaky utok, at uz na apache, tak ssh a podobne :)
Bezi tam NAT, ktery dale brai muj notebook pred napadnutim z venci :) -
mm (neregistrovaný)Napsal jste to dobre a srozumitelne, ale obavam se, ze v pripade pana Bednare slo jen o plytvani energii. Dosel jsem k zaveru, ze patri k tem lidem, pro nez je skoda jakychkoliv rad a slov. Typicky Brouk Pytlik, pripadne placeny FUDman (nebo FUDmistr ? :-)). Samozrejme, ze daleko pravdepodobnejsi je diagnoza: Brouk Pytlik.
-
Pingu (neregistrovaný)No, teda, pokud vím, tak i Konqueror jde nastavit tak, že Javu provozuje jen z povolených serverů. A kdo si jí povolí globálně, tak má prostě smůlu.
Nebo pokud by našli chybku v Kmailu, která při zobrazení html stránky mohla cosi udělat. Taky by mě to netrálpilo, páč html prostě do emailu nepatří a proto to mám vypnutý. -
mm (neregistrovaný)Pane Bednar, ja vam radil uz vcera a vy porad na tu dobrou radu nedbate. Opravdu nechte toho...Vase clanky jsou k smichu. Tedy k smichu... z urciteho pohledu spis k placi a je uplne jedno, zda pisete o Linuxu ci cemkoliv jinem.
Ted jste napr. objevil Ameriku :-) Takove chyby se vyskytovaly jiz drive a neni na tom nic divneho. Ten podstatny rozdil je v rychlosti napravy. Posledni chybu v KDE jsem mel kuprikladu zazaplatovanou jeste drive nez jsem se o ni vubec dozvedel...Jak se to rika v te modni floskuli: A vo tom to je. -
Karel (neregistrovaný)V tom je prave problem. Kdyby clanek hned hovoril o KDE, nekdo by se mohl pozastavit nad tim, proc se zde resi chyba jakehosi KDE, dale by nekomu mohlo vrtat hlavou, proc se neresily i predchozi chyby v KDE, nebo ostatni chyby v OSS umoznujici spusteni ciziho kodu. Nasledne by se treba zjistilo, ze tato chyba nijak nevybocuje z rady predeslych a ze vlastne neni o cem psat.
Nakonec by se zjistilo, ze pan Bednar tomu zas tak moc nerozumi, k pocitacum se dostal pred par tydny a zahy se z nej stal expert na bezpecnost. A tak kdyz uvidel chybu, ucitil prilezitost, sednul a napsal clanek. Jinak si nedovedu vysvetlit, proc to neudelal uz davno u predeslych desitek podobnych chyb v KDE, nebo stovek jinych v ostatnim OSS. -
whitescorpio (neregistrovaný)... :)) ... je to smesne, mluvit o ohrozeni serveru pri nalezeni chyby v KDE, ktera byla okamzite opravena ... pripomina mi to spise vykrik do prazdna od cloveka, ktery proste nevi ... kazdopadne linuxaci/bsdckari/unixaci maji standartne servery se spustenyma kdeckama, prihlaseni na roota s heslem toor, otevrenyma portama pro sirokou verejnost a serfuji si konqueroru v po nebezpecnych sajtach se zaplou podporou Javy a javascriptu ...
-
Douglish (neregistrovaný)Krasne napsane, neni co dodat. Jeste jste ale zapomel dodat, ze na tom serveru musi bezet nejaka P2P aplikace pod wine, aby to bylo dokonale ;))
Pan Bednar by mozna mel zacit psat clanky o necem, cemu rozumi.
Panu Bednarovi: zkuste se preorientovat na zahradkarstvi ci zemedelstvi.
I kdyz radeji ne, zde by hrozil hladomor ... -
xkesh (neregistrovaný)Abyste tu z toho taky neco meli (kopiruji z diskuse na jinem, tentokrat odborne zamerenem portalu, zaroven obsahuje muj nazor na clanek):
dnes 21:30 Dunric
Re: Citát dne
Odpovědět | Admin | Link | Výše | Blokovat | Sbalit
Možná by nebyl špatný nápad, aby redakce oslovila dotyčného pana "odborníka", jestli by nechtěl pro tento server psát nějaký humoristický seriál. Vsadím se, že by návštěvnost výrazně stoupla a inzerenti by se jen hrnuli.
dnes 21:48 Michal Vyskočil | blog: miblog | Blansko
Re: Citát dne
Odpovědět | Admin | Link | Výše | Blokovat | Sbalit
Imnho je to špatný nápad, stačí, když se kompromituje Lupa a root
dnes 22:12 Dunric
Re: Citát dne
Odpovědět | Admin | Link | Výše | Blokovat | Sbalit
Nemyslím, že špatný. Na zmíněných serverech to byly rádoby seriózní a rádoby odborné články, tady by to vycházelo pod hlavičkou humoristických glos a tak by k nim i čtenáři od začátku přistupovali.
dnes 23:47 xkesh | blog: eXtempore
Re: Citát dne
Odpovědět | Admin | Link | Výše | Blokovat | Sbalit
tady by to vycházelo pod hlavičkou humoristických glos a tak by k nim i čtenáři od začátku přistupovali.
Bohuzel, ze vseho nejhur chapou lidi ironii. Vydat blabol mezi serioznim ctivem se rovna pozvednuti blabolu na seriozni ctivo (a obracene). Vydavat tedy takove clanky, ktere navrch vypadaji jako zamerny a sponzorovany FUD, bych zdejsi redakci neradil ani z legrace. Ted jsem se premohl (ackoliv od VB uz nic vedome cist nehodlam) a podival jsem se na ten posledni clanek (o "bezpecnosti"). Typicke rozmatlavani ho*na, nejde o nic, ale bude to dlouho smrdet.
Bud to dela Lupa zamerne z kalkulu (na skandaly se prijde podivat hodne klikacu a vzrusene flamewary jsou porad "in" - a o nic jineho vydavateli prece nejde), nebo jim za to nekdo dokonce plati jako za anti-reklamu (tomu bych se taky nedivil).
Protoze bych rad videl sefredaktora, ktery dokaze obhajit vydani takoveho vyplodu nesmyslu vydavajiciho se odbornou "glosu" (coz by mela byt "poznamka", pritom je to formou radoby "analyza" se vstupnimi udaji a vyvozenim zaveru) necim jinym (vtipem, stylem pisatele, nadsazkou, zavaznosti, uzitecnosti, objevnosti, zabavnosti... - tohle vsechno ten text totiz postrada). Je to jak z prilohy regionalnich novin, kde potrebovali zaplacnout misto "necim", co se tvari k tematu.
Go LUPA GO! (pomalu by si meli diky clankum VB zmenit slogan presmyckou na "pERVERS" nejen o ceskem internetu :P -
peter griffin (neregistrovaný)bez urazky, ale clanek nejspise vznikl jako spojeni informaci, ktere si autor nekde precetl, a rad od jeho hax0rz kamaradu. clovek s zakladnimi znalostmi unixu by nemohl nikdy vyplodit neco jako treba Vas druhy odstavec. nemuzete prece, ze slov, co jste nekde slysel, a z nicim nepodlozenenych predsudku sestavit clanek. nechci Vas urazet, spis me to mrzi, ze to tu vypada, ze se tu publikuji informace, k jejichz shromazdeni autor asi tak dvacet minut prochazel flamewary a udelal si zaver.
-
cm3l1k1 (neregistrovaný)Tag jsem si krasne procet ten vas flejm o aktualizacich a rebootech.
Tag ted se me snazte pozorne poslouchat. Mame tu dva pripady
a) mam gentoo -- aktualizuji uplne cely system, vsechny aplikace, vsechny sitove demony, vsechny knihovny (krome jadra) a nemusim restartovat. (xx krat vyzkouseno)
b) mam windows -- aktualizuji ani ne zakladni prvky a jedem na restart
-- je jasne ze lze napsat aplikace tak aby se nemuselo restartovat. jde o to ze windows taghle napsany neni/nebude/nechce byt. takze v tech vasi asi 60-ti prispevcich resite uplny kktiny (a to jsem slusny).
;o) -
kyssling (neregistrovaný)Podle mě je zřejmé, že nezávisle na platformě, tak jak bude přibývat Linux systémů bude přibývat i pro autory virů atraktivita jejich "výroby" a hledání bezpečnostních skulin. Bude to stejné. Vždyť těch děr je ... stačí se podívat na secunia.com, stačí jen čekat až tu díru bude mít někdo zájem zneužít.
-
Umiyaki (neregistrovaný)Windows jsou bezpečná. Na druhou stranu je pravda, že já je používám v interní domácí síti, kde mezi internetem a intranetem sedí adsl modem Alcatel speedtouch 510i s hardware firewalem (bez dodatecneho nastaveni), dále router ASUS wl-500g (s linuxem) se zapnutým firewalem a přísně nastavenými pravidly no a pak PC s wokny. A pak, že nemohou být wokna bezpečná :-))) (Jasne softwarově to řeší Firefox s ad-blockem a noscriptem, NOD32, spybot, spy emergency, ad-aware a hlavně jeden z nejdůležitějších hardwarových zabezpečení ... mozek, který uvažuje nad tím na co kliká, co potvrzuje, co spustí a komu pošle nějaké údaje.
-
Petr07 (neregistrovaný)Mandrake 10.1 dovolí také přihlášení jak ROOT, ale s odporně červenou (krvanou) tapetou na ploše.
Nevíte jak se přihlásit pro spuštění jednoho programu jako admin do W2k aniž bych se ohlašoval jako Power User ze systému. Linux toto má daleko lépe vyřešeno a proto spousta lidí je v WXP jako admin při normální práci. -
Shadow (neregistrovaný)Asi chápu, že článek musel vyznět tak, jako že se něco děje, aby si ho přečetlo více lidí, nicméně opravdu nevím, kde autor vzal "obavy o bezpečnost GNU/Linuxu". Nevšiml jsem si totiž, že by se s bezpečností GNU/Linuxu děly nějaké změny, snad kromě toho, že byla nalezena poněkud vážnější zranitelnost. Ovšem její oprava je už dávno k dispozici.
A pokud by měla být tato zranitelnost nějakým signálem, pak nemohu než konstatovat, že bezpečnostní aktualizaci jsem měl ve svém případě (Ubuntu Breezy) realizovanou ještě dříve, než jsem se z médií dozvěděl, že vůbec nějaký problém s KDE knihovnami je. Za těchto okolností opravdu nemám starost, že by se s bezpečností GNU/Linuxu něco dělo. Nevím, článek na mne působí jako pokus o FUD. -
Honza (neregistrovaný)pane Bednari, proc pres mnoha doporuceni pisete o necem, cemu nerozumite? Cili, tvrdil nekdo nekdy, ze Linux je bezpecny protoze vyvojari open-source nedelaji chyby? Netvrdil, samozrejme ze delaji. V cem tedy udajne vyssi bezpecnost spociva? V mnoha vecech, napriklad: a) odlisna architektura - propracovany management uzivatelskych prav a dusledne oddeleni uzivatelskych a administratorskych uctu v Linuxu, ktere navic umoznuji funkcni a neomezujici praci pod userem a pohodlne prepinani na admina a zpet na usera v pripade potreby - Linuxove systemy tedy nemotivuji k soustavne praci pod adminem jako soucasna Windows (proste napr. v SuSE Linuxu z prostredi "user" spustim YaST (zadam administratorske heslo), kde udelam administratorskou cinnost, pricemz zbytek me prace jede nadale pod userem - proc bych mel proboha pracovat jako root? Proc porad nekdo spekuluje, ze kdyz v linuxu budete pracovat jako root, davate stroj vsanc hackerovi...? Podstata veci prece je, ze v Linuxu narozdil od Windows nemam duvod delat uzivatelskou praci jako root, a pokud delam, tak je to chyba moje a ne Linuxu). Cili - dopady chyb jsou omezenejsi. b) open source vyvojovy model - vzhledem k pristupnosti kodu je snadnejsi vyhledavat chyby, a protoze opravy muze delat kdokoli a nejsou omezeny na libovuli jedne firmy, obvykle jsou dostupne velmi rychle - podstatne rychleji nez u Windows. c) vetsi diverzita (mnoho distribuci, balickovacich systemu, grafickych prostredi...) - prostredi neni tak homogeni jako u Windows, coz ztezuje sireni pripadnych viru a snizuje dopad utoku. Nekdo, kdo Linuxu rozumi vice nez ja, by zrejme nasel dalsi veci. Podstatne je, ze nic z toho neni zpochybneno v clanku, ktery jste napsal. Neexistuje kod bez chyb, a samozrejme s narustajicim mnozstvim kodu pocet chyb roste - ale o tom bezpecnost prece neni. Vzdy zalezi na mire zabezpeceni, ktera muze byt vetsi ci mesi a ktera je dana celou radou veci, z nichz nektere jsem tady napsal - cili, proc zrovna ted mate takove obavy o bezpecnost linuxu? Imo se linux velice dobre vyrovnava s rostouci pravdepodobnosti chyb, ktera se samozrejme zvetsuje se zvetsujici se hromadou kodu, coz ale neznamena nutne vetsi miru rizika! Je prece nutne brat v uvahu faktory, ktere ovlivnuji dopad chyb (nektere jsem vam tu napsal), a take to, zda s rostouci komplexitou linuxu napr. take pribyva lidi, kteri pouzivaji/kontroluji kod, zabyvaji se jim, vydavaji opravy a poskytuji podporu, udrzuji progres... nemuzete videt jen jednu misku vah. Nemuzete soustredit svuj pohled jen an jednu cast dynamickeho systemu a ostatni menici se faktory ignorovat. Cili, objeveni chyby o ktere jste psal a okamzite vydani zaplaty svedci imo spise o vysoke urovni zabazpeceni linuxu. Nic ve zlem, ale kdyz ctu zejmena posledni vety vaseho clanku... vy sice mate jen velmi povrchni znalosti a rada souvislosti vam unika, zato hrozne rad spekulujete a vyvozujete dramaticke zavery, ze? V diskusich k vasim clankum jsem zaznamenal spoustu dobre minenych rad nabadajicih vas k jiste sebereflexi - nechcete nad nimi trosku zauvazovat?
-
kolemjdoucí (neregistrovaný)No, teď mi není zcela jasné, proč by root účet měl být pro šíření viru o tolik nebezpečnější. To hlavní, oč tu jde, jsou stejně data a útoky na další počítače mohou být prováděny z uživatelského účtu stejně jako od roota. Rootovský účet by byl nebezpečnější v tom, že by mohly být ihned infikovány všechny uživatelské účty na stroji, ovšem virus pod uživatelským účtem se může v rámci počítače pokusit napadnout uživatele alespoň ve stejné skupině. Domnívám se ale, že tím hlavním problémem bude další šíření virů v síti a to, jak jsem již psal, ne-rootovský účet zvládne stejně.
ČLÁNKY DO MAILU