Какие программы для Linux имеют хорошую репутацию в плане безопасности?

Тут только OpenBSD

Я конечно не эксперт в сфере информационной безопасности, но чтобы в программе за 20 лет не нашли уязвимостей возможно только если её практически никто не использует, то есть не ищет уязвимости.

почтовый сервер это postfix, но его автор Originally written in 1997 by Wietse Venema at the IBM Thomas J. Watson Research Center in New York, and first released in December 1998

Ты про qmail от djb. Но фишка была в том, что он был настолько примитивный – на любой функционал надо было накладывать уйму патчей от дяди Васи и с таким же качеством, что да, в «hello smtp» ошибок не было.

за 20 лет не найдено уязвимостей?

лови, не жалко:

#include <stdio.h>

int
main(int argc, char **argv)
{
   printf("Hello, World!\n");
   return 0;
}

А это не страшно? На мой взгляд, локальное повышение полномочий - довольно плохо уже:

https://www.securitylab.ru/news/503146.php

Или вот: https://www.opennet.ru/opennews/art.shtml?num=52267

Спасибо, понял.

Кстати, ещё вот

http://www.oszone.net/14190/FBI_backdoors_OpenBSD

и вот:

Критическая уязвимость в ядре OpenBSD

Hello World на ассемблере. Ни одной уязвимости за полвека.

Возможно tetravex или klotzki. Кпк посмотреть уязвимости?

нет никакой абстрактной «безопасности». есть совокупность решений и мероприятий, обеспечивающих целевую безопасность. бумажки с текстом, тела, штанов, дверей, окон, данных в облаке, етц.

если дверь нельзя прострелить из ПМ в упор - дверь в безопасности? а квартира? а кошелек, где деньги лежат?

Пытался найти ОС, более хорошую, чем Linux, с точки зрения безопасности - не нашёл не одной, все решето.

Android. Если не крячить его шаловливыми ручками - это практически единственная массово эксплуатируемая ОС с чрезвычайно высокими гарантиями безопасности и сохранности персональных данных. хранит и защищает всё самое дорогое практически от всех. кроме самого гугла, бгг. ну ладно, вендор тоже может пошалить.

крч все суета. но! если есть доверенный завод, то (чисто теоретически) из стандартных компонентов можно запилить неломаемый и неподконтрольный никому девайс. а вот как это провернуть практически - это вопрос на офиглиард, считая деньги в любой валюте.

чисто теоретически

Только что на Viasat History кино показывали про EncroChat. Вполне себе практическая контора была. Настолько никому неподконтрольная, что людей сажали практически просто за факт владения устройством.

«Вследствие проникновения в сеть полиция Великобритании арестовала 746 человек, среди которых несколько «криминальных боссов», перехватила две тонны наркотиков, изъяла 54 миллиона фунтов наличными, а также оружие, в частности автоматы, пистолеты, гранаты» (с)

нуууу… скажем так - и за факт владения устройством тоже )

лови, не жалко

терзают меня смутные сомнения: если скривлена локаль и большая строка argv, на всём ли зоопарке линуксов оно стабильно…

Вроде он не хранит никакие данные на стеке, поэтому и переполнения буфера на стеке не могло получиться.

от переполнения надо защищаться проверкой размера буфера, а не каким-то там «нехранением на стеке».

если даже не «хранить» на стеке данные, в надежде, что тебе не модифицируют адрес возврата например, и не проверять размер буфера, то все равно возможна атака навроде модификации указателя на функцию, что вдруг хранится рядом с этим буфером.

Вследствие проникновения в сеть

Это уже после того, как полиция нашла сервера и внедрила свои закладки.

А пока они четыре года безуспешно пытались его поломать - достаточно было самого факта.

Всё таки нагуглил того типа, про которого в фильме говорилось - некто Mark Fellows. Вот его приговорили к пожизненному в том числе за то, что по материалам с видеокамер он был рядом с местом преступления и держал в руках EncroChat. По крайней мере - по версии авторов этой документалки.

допустим, за 20 лет не найдено уязвимостей?

МИШН ИМПОССИБРУ!

Таких не существует, особенно если это программа на Си.

PS: баги в qmail кстати таки находили, но djb свой баунти (сначала $500, потом $1000) каждый раз зажмотил.

ref: https://en.wikipedia.org/wiki/Qmail#Controversy

Забавная ситуация с этим переполнением числа, надо бы докопаться. Спасибо. Очень понравилась вот эта презентация, http://cr.yp.to/talks/2007.11.02/slides.pdf, правда, похоже, у парня точка на клавиатуре сломалась.

dd?