LINUX.ORG.RU

Red Hat Security Framework перешел в Open Source

 ,


0

0

Red Hat открыла код своей системы безопасности и управления пользователями, твердо подтверждая тем самым свои высказывания о наибольшей надежности open-source решений.
На этой неделе были полностью опубликованы исходные тексты системы сертификатов и сетевых транзакций Red Hat Certificate System. Напомним, что приобретенная у AOL три года назад технология была открытой лишь частично, только в области использования веб-сервера Apache и Red Hat Directory Server. Таким образом, Red Hat сегодня напрямую заявляет защищенность и открытость продуктов своими ведущими принципами в работе.
Разумеется, данный шаг предпринят также в сторону более широкой интеграции данной разработки во множество других продуктов Red Hat и привлечения девелоперов. Новый генеральный директор Red Hat Джим Вайтхарст (Jim Whitehurst) заявил, что компания сейчас как никогда нуждается в расширении своей опен-сорсности гораздо дальше за рамки области операционных систем, демонстрации видимой поддержки всего сообщества и особенно во внедрении открытых решений в бизнес-проекты.

>>> Подробности

вот это я понимаю открытие исходников, а не какие-то там потуги майкросовт. В общем всеми ожидаемое пришествие того самого приближается :).

anonymous
()

нужно.

Сейчас есть нехватка законченых решений.

AVL2 ★★★★★
()

> привлечения девелоперов

Таки может разработчиков, а?

А вообще сабж радует.

Virun
()

> На этой неделе были полностью опубликованы исходные тексты системы сертификатов и сетевых транзакций Red Hat Certificate System. Напомним, что приобретенная у AOL три года назад технология была открытой лишь частично, только в области использования веб-сервера Apache и Red Hat Directory Server.

Я то думал они чисто опенсорс компания, а оказывается под шумок проприетарщиной приторговывают. И сколько ещё у них закрытого кода?

anonymous
()
Ответ на: комментарий от anonymous

>Я то думал они чисто опенсорс компания, а оказывается под шумок проприетарщиной приторговывают. И сколько ещё у них закрытого кода?

Ну, они эту технологию купили, а не сами написали. Наверняка нужно было прилизать код, разобраться с патентами сторонних компаний...

Erik_der_Zweite
()
Ответ на: комментарий от hexenlord

>а он нужен ? Мозги тебе нужны

anonymous
()

ура, малаццы... интересно, а много ли уних исчо таких закрытых сюрпризов??? чета это странно как-то....

OzOx
()
Ответ на: комментарий от anonymous

> Я то думал они чисто опенсорс компания, а оказывается под шумок проприетарщиной приторговывают. И сколько ещё у них закрытого кода?

В данном контексте "думать меньше надо, а соображать больше", уважаемый. Я понимаю, уровень образованности на LOR неуклонно растет с каждым годом, но неужели трудно саму новость почитать? Код был куплен у AOL. На адаптацию под открытый процесс потребовалось некоторое время, в течение которого компоненты портировались под среду *nix. Я так подозреваю, AOLу данный код достался от Netscape, а Red Hat выкупила исходинки, как это сделала однажды с Netscape DS. Включайте мозг, чтобы за вас его не включали.

Вещь очень нужная для корпораций, для которых PKI и защищенный документооборот - не пустой звук. И думается, что центр сертификации они приспособят к своей FreeIPA, после чего это будет очень цельное решение для развертывания инфраструктуры управления сетью и пользователями.

А затем и тот самый капец недолго в корпоративной среде.

anonymous
()
Ответ на: комментарий от anonymous

> Код был куплен у AOL. На адаптацию под открытый процесс потребовалось некоторое время, в течение которого компоненты портировались под среду *nix.

Достаточно было код открыть, а сообщество само бы всё портировало и адаптировало. С каких пор RH перестало ему доверять?

anonymous
()
Ответ на: комментарий от anonymous

Ага, открыть :) Если они откроют чужой код их по судам затаскают. Оно им надо? Поэтому сначала проверяли.

BigKAA
()
Ответ на: комментарий от BigKAA

> Ага, открыть :) Если они откроют чужой код их по судам затаскают. Оно им надо? Поэтому сначала проверяли.

"Код был куплен у AOL". Они по твоему не знают что купили? Они вполне могли открыть всё, что не принадлежит сторонним компаниям, а сообщество доделало бы, то чего не достаёт.

anonymous
()

Редхад маладцы, новость очень порадовала. А то блин приходилось изобретать свой велосипед

anonymous
()
Ответ на: комментарий от anonymous

Чё разорался? Тебе лично не дали портировать что ли? А сейчас ты роняя всё что можно побежишь допиливать до вендекапца всё это? Надеюсь до конца следующий недели ты как специалист в этом деле управишься? Потом новость тут об этом напиши попробовать охота твои переделки.

anonymous
()

Ну вот. Теперь можно разворачивать "ынтерпрайзные" CA. Еще один аргумент против вендузятников и гвоздь в крышку гроба Kerberos и AD.

А для простых пользователей - прощайте наколенные CА. Ждем поддержки в CentOS.

ЗЫ: http://www.redhat.com/certificate_system/

Macil ★★★★★
()
Ответ на: комментарий от anonymous

> Чё разорался? Тебе лично не дали портировать что ли? А сейчас ты роняя всё что можно побежишь допиливать до вендекапца всё это? Надеюсь до конца следующий недели ты как специалист в этом деле управишься? Потом новость тут об этом напиши попробовать охота твои переделки.

Зачем было держать код? Всё чего они добились, так это затормозили развитие проекта. Разрабатывай они его в открытую, проект был бы готов ещё года два назад.

anonymous
()
Ответ на: комментарий от anonymous

> Они вполне могли открыть всё, что не принадлежит сторонним компаниям, а сообщество доделало бы, то чего не достаёт.

А ничего страшного, что половина активного сообщества (которые могут что-то делать) и так работает в rh, а другая половина - в новелях, мандривах, каноникалах и айбиэм? :)

mv ★★★★★
()
Ответ на: комментарий от Macil

> Еще один аргумент против вендузятников и гвоздь в крышку гроба Kerberos и AD.

А керберос чем не угодил?

mv ★★★★★
()
Ответ на: комментарий от anonymous

> Зачем было держать код? Всё чего они добились, так это затормозили развитие проекта. Разрабатывай они его в открытую, проект был бы готов ещё года два назад.

Анонимная аналитика на ЛОРе в действии

mv ★★★★★
()

> Red Hat открыла код своей системы безопасности и управления пользователями, твердо подтверждая тем самым свои высказывания о наибольшей надежности open-source решений.

сами высказались, сами открыли, сами этим твердо подтвердили. круто.

pronvit
()
Ответ на: комментарий от anonymous

>Я то думал они чисто опенсорс компания, а оказывается под шумок проприетарщиной приторговывают. И сколько ещё у них закрытого кода?

Петух тоже думал. Они покупают кучу закрытых продуктов, дорабатывают их с точки зрения патентной чистоты и открывают для сообщества.

А проприентарщина - удел Новеля!

anonymous
()
Ответ на: комментарий от mv

>А керберос чем не угодил?

Да ничем. Просто нужность его в современных условиях кажется сомнительной. Для всех (и юзеров и админов и безопасников) намного проще сделать аутентификацию на основе сертификатов, чем через пароль.

Единственное, что мешало развернуть полноценный PKI под линуксом - отсутствие нормального open source центра сертификации. Теперь помеха исчезла.

Значит скоро будут решения "ынтерпрайз" уровня, например для входа в систему на основе сертификатов. Это и раньше было возможно, но теперь мы получили возможность централизованного управления, простоту развертывания, и прочие "ынтерпрайз" фишки.

Macil ★★★★★
()
Ответ на: комментарий от Macil

>Да ничем. Просто нужность его в современных условиях кажется сомнительной. Для всех (и юзеров и админов и безопасников) намного проще сделать аутентификацию на основе сертификатов, чем через пароль.

>Единственное, что мешало развернуть полноценный PKI под линуксом - отсутствие нормального open source центра сертификации. Теперь помеха исчезла.

Мда... Похоже, кое-кто не понимает, о чём говорит...

Cyril ★★
()
Ответ на: комментарий от mv

>Ну так а керберос то при чём?

Да не причём, просто это гвоздь в его гроб: там где он используется так и будет использоваться. Для совместимости.

Macil ★★★★★
()
Ответ на: комментарий от Cyril

>Похоже, кое-кто не понимает, о чём говорит...

Чем голословно что-то утверждать, лучше просвяти чего конкретно я не понимаю.

Macil ★★★★★
()
Ответ на: комментарий от Macil

>Чем голословно что-то утверждать, лучше просвяти чего конкретно я не понимаю.

Того, что Kerberos не завязан на пару "имя пользователя/пароль", например. Из чего почти автоматически следует непонимание, для чего он вообще нужен.

Cyril ★★
()
Ответ на: комментарий от Cyril

Стоп. А на основании чего мы TGT получаем? Да мы можем предоставить любые credentials в т.ч. и сертификат, только зачем городить огород?

Изначально Kerberos разрабатывался как парольный SSO. С ростом производительности компьютеров и развитием электроники, появились и другие, более простые и более масштабируемые решения.

Macil ★★★★★
()
Ответ на: комментарий от Macil

TGT в упомянутой среде AD мы можем получить на основании сертификатов без особого "огорода". Последние реализации Kerberos вполне себе поддерживают PKI "из коробки".

Насчёт большей масштабируемости - не совсем корректное утверждение. PKI не является так уж намного "более масштабируемым" в пределах корпоративного использования.

А вот упомянутое SSO и есть главное преимущество PKI+Kerberos над чистым PKI. Если у вас достаточно сложная структура из Enterprise CA, заверенного Verisign, например, кучи Subordinate CA для подразделений и по регионам, серьёзных требований безопасности - то без Kerberos это намного более тяжёлая и ресурсоёмкая структура. Ведь, допустим, при аутентификации на сервере для каждого соединения необходимо проверить по нескольким параметрам как сертификат подключающегося, так и сертификаты цепочки CA. С Kerberos этот процесс происходит реже и менее сложен.

Cyril ★★
()
Ответ на: комментарий от Cyril

>Ведь, допустим, при аутентификации на сервере для каждого соединения необходимо проверить по нескольким параметрам как сертификат подключающегося, так и сертификаты цепочки CA. С Kerberos этот процесс происходит реже и менее сложен.

Тут уж или паранойя или разумные компромиссы. Сертификаты цепочки CA нужно проверять только один раз, все-таки PKI основана на доверии, да и отзываются такие сертификаты крайне редко. Клиентские сертификаты да, их нужно проверять на "отозванность", но необязательно это делать каждое соединение. А вот вырабатывать сеансовый ключ приходится часто, в отличие от Kerberos'а. Это действительно недостаток. Однако в современном мире 8 часов это многовато, а если поставить срок годности билета поменьше, то нагрузка на KDC возрастет, притом именно на KDC а не на конкретный сервер.

Macil ★★★★★
()
Ответ на: комментарий от Macil

>но необязательно это делать каждое соединение.

Обоснуйте для чистого PKI, без Kerberos.

>А вот вырабатывать сеансовый ключ приходится часто, в отличие от Kerberos'а.

Сами же и ответили ниже - "Это действительно недостаток."...

>Однако в современном мире 8 часов это многовато, а если поставить срок годности билета поменьше, то нагрузка на KDC возрастет, притом именно на KDC а не на конкретный сервер.

По-моему, это плюс, а не минус. Мы знаем, кто нагружен, и можем за процессом следить.

Cyril ★★
()

А закончится все классикой жанра

Сколотят коммунити, высосут и реализуют идеи. Потом пустят влупят патент (если что-то оригингальное образуется) и выкинут в продажу.

Вот такая спекуляция открытым кодом ради ...

rc
()
Ответ на: комментарий от Cyril

>Обоснуйте для чистого PKI, без Kerberos.

Да элементарно. При применении Kerberos'а у клиента по любому останется тикет для целевого сервиса до тех пор пока тикет не истечет. И даже если мы клиента заблокируем, то некоторое время с сервисом он может работать.

Так что для PKI тоже можно проверять отозванность сертификата один раз, а затем результаты кешировать.

>По-моему, это плюс, а не минус. Мы знаем, кто нагружен, и можем за процессом следить.

Да как сказать... Если сервисов десятки, а KDC несколько... Кроме того, разве Kerberos умеет балансировать нагрузку?

Macil ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.