LINUX.ORG.RU

InfoWorld: Новогодняя резолюция номер один — установить OpenBSD


0

0

Специалист по безопасности журнала InfoWorld Roger A. Grimes рекомендует начать 2007-ой год с установки новой, более безопасной операционной системы.

Grimes напоминает, что OpenBSD содержит многочисленные функции шифрования и даже была первой ОС с поддержкой IPSec, обладает одним из самых лучших сетевых экранов — PF, и установка OpenBSD по умолчанию гарантирует отсутствие каких-либо дыр в безопасности системы.

>>> Подробности

★★★

Проверено: Shaman007 ()

Кровосток?

anonymous
()

>Roger A. Grimes рекомендует начать 2007ой год с установки новой, более безопасной операционной системы.

Он явно не обделен остроумием.

soko1 ★★★★★
()

Это тот самый бес который раздавал XBox всем кто взломает IIS6? Видать мелкие недоплатили... кстати чем там все закончилось тогда, никто не в курсе?

anonymous
()

Мало ли чего он рекомендует =)

Danmer ★★
()

А я на прошлый НГ отказался от венды, поставил ФРЮ. Потом правда пересел на дженту, на ней щас и сижу. На этот НГ буду 64 бита дженту собирать

Arceny ★★
()
Ответ на: комментарий от Arceny

Не спеши ставить 64, испортишь праздник геморроем :) Там много граблей и недоработок, масса софта маскирована и на стадии тестирования находится :) Подожди :)

anonymous
()
Ответ на: комментарий от anonymous

Ничего подобного, всё прекрасно работает. На крайний случай 32битные либы никто не отменял :)

the_one
()

Я бы посоветовал - убей в себе пингвина.

anonymous
()
Ответ на: комментарий от Spinal

А с 1 апреля прошло _всего лишь_ 9 месяцев...

Spinal (*) (30.12.2006 23:58:07)

- ВОТ и родилось оно :)

GOD ★★★
()
Ответ на: комментарий от anonymous

Нет, просто на западе новогодние праздники отмечают раньше. ;)

km ★★★
() автор топика
Ответ на: комментарий от anonymous

> Не спеши ставить 64, испортишь праздник геморроем :) Там много граблей и недоработок, масса софта маскирована и на стадии тестирования находится :) Подожди :)

Я хоть и не джентушнег, но gentoo-amd64 2006.1 собрал и настроил с софтверным рейдом и lvm2 за пол дня. Какие там могут быть проблемы? Ты случаем не про ~amd64?

mutronix ★★★★
()

OpenBSD для параноиков.

А я не такой!

Останусь на Debian.

gln0fate ★★
()

Свежепроснувшийся пошатывающийся линуксойд, с больной головой, водружает на ёлку опенбсд в целях безопасности... Готишнонахъ! Но не для меня, я крепче спиртного ничего на НГ не собираюсь употреблять.

bugmaker ★★★★☆
()

Правильно! Год свиньи надо начать с ее подкладывания! :)))

AcidumIrae ★★★★★
()

>Не спеши ставить 64, испортишь праздник геморроем :) >Там много граблей и недоработок, масса софта маскирована blablabla >Ты случаем не про ~amd64?

У меня ~amd64 и все работает :) Разве что только evince валится :-/ а так все ок, надо только либы 32хбитные поставить, чтоб под x86 скомпиленные проги запускались, и никаких проблем :)

Danmer ★★
()

>установка OpenBSD по умолчанию гарантирует отсутствие каких-либо дыр в безопасности системы

сеть не настроена что ли?

devinull ★★
()
Ответ на: комментарий от devinull

Да, надо бы поставить...
только всё времени нет :(

anonymous
()

Так и не разобрался, как с помощью pf закрыть аську :( Использую правила:

block in quick on $ext_if inet proto { tcp, udp } from { 205.188.0.0/16, 64.12.0.0/16 } to $ICQ flags S/SA
block in quick on $int_if inet proto { tcp, udp } from $ICQ to { 205.188.0.0/16, 64.12.0.0/16 } flags S/SA

$ICQ -- перечисление ip-шников, кому закрыть icq.

vovans ★★★★★
()
Ответ на: комментарий от vovans

"flags S/SA" убери, нафик они тебе, да и "proto {tcp, udp}" отсюда.

А вообще надежнее (раз уж юзаешь pf ;) обратная политика - разрешать только то, что нужно, а не запрещать то, что не нужно (как у тебя).

lapic
()

>Grimes напоминает, что OpenBSD содержит многочисленные функции шифрования и даже была первой ОС с поддержкой IPSec, обладает одним из самых лучших сетевых экранов — PF , и установка OpenBSD по умолчанию гарантирует отсутствие каких-либо дыр в безопасности системы.

А я напоминаю, что в 2007 году 70-80% продаваемых процессоров будут 
многоядерными(т.е. >1 =)). Вот спрашивается, на кой нужна эта OpenBSD,
Если с smp у неё никак, тредов нет, device polling нет, итп.

PS: OpenBSD и производительность - это вещи ортогональные.

PPS: km как всегда красноглазием мается.

anonymous
()
Ответ на: комментарий от anonymous

> Если с smp у неё никак

"никак" - это с точки зрения HPC-профессионала, работающего с кластерами на (естественно) SMP-нодах? Или никак - это совсем никак?

lapic
()
Ответ на: комментарий от lapic

>А вообще надежнее (раз уж юзаешь pf ;) обратная политика - разрешать только то, что нужно, а не запрещать то, что не нужно (как у тебя).

Нет, так не пойдёт. Политика у нас такая, что всё разрешено =) Ну, разве только http режется -- нефиг юзверям лазать где не попадя. А так всё разрешино. Иногда только бывает обращается кто-то из начальства закрыть. скажем, аську тому-то, бо нифига не делает больше ;) Вот и всё.

Правила попробую подправить уже в НГ.

vovans ★★★★★
()

А,вообще, это мысль.. да.. ;-) Только не ставить (уже поставлено).. А вот обновлятся до текущей можно будет поставить.. ;-)

MiracleMan ★★★★★
()
Ответ на: комментарий от vovans

>А вообще надежнее (раз уж юзаешь pf ;) обратная политика - разрешать только то, что нужно, а не запрещать то, что не нужно (как у тебя).

>Нет, так не пойдёт. Политика у нас такая, что всё разрешено =) Ну, разве только http режется -- нефиг юзверям лазать где не попадя. А так всё разрешино. Иногда только бывает обращается кто-то из начальства закрыть. скажем, аську тому-то, бо нифига не делает больше ;) Вот и всё.

Какая у вас говорите организация? :) IP пожалуйста, ну или доменное имя, если хостится сайт у вас.

anonymous
()
Ответ на: комментарий от georgii

>Может тоже что-нибудь поставить в новогоднюю ночь? Шампанского поставь на стол! А то начнешь новый год с геморроя - весь год будешь его иметь!

anonymous
()
Ответ на: комментарий от anonymous

>Какая у вас говорите организация? :) IP пожалуйста, ну или доменное имя, если хостится сайт у вас.

речь о шлюзе. Извне открыты уазанные порты. Изнутри открыто всё, а http через прозрачный прокси. Чего мудрить-то?

vovans ★★★★★
()
Ответ на: комментарий от vovans

block in quick on $ext_if inet proto { tcp, udp } from { 205.188.0.0/16, 64.12.0.0/16 } to $ICQ flags S/SA входящие с внешнего интерфейса небудут иметь только флак Syn тут можно поставить SA/SA (ну или ограничивать по out), но пойдее оно вообще ненужно достаточно ограничить входящие с внутреннего интерфейса

block in quick on $int_if inet proto { tcp, udp } from $ICQ to { 205.188.0.0/16, 64.12.0.0/16 } flags S/SA резать нужно только tcp флаги действительно можно неуказывать

block in quick on $int_if inet proto tcp from $ICQ to { 205.188.0.0/16, 64.12.0.0/16 } pass in on $int_if all

x86 ★★
()

>Новогодняя резолюция номер один -- установить OpenBSD

Чорт! я её вчера поставил - недотерпел _-_

PashaKustov ★★
()
Ответ на: комментарий от Arceny

> На этот НГ буду 64 бита дженту собирать

Шесть дней гентушник собирал систему, а на седьмой день он ждал ебилдов... :)

atrus ★★★★★
()
Ответ на: комментарий от x86

Спасибо, в начале рабочего года будем опробовать =))

С pf ещё есть беда. Всё работает, кроме активного доступа к внешним фтп. Проксирование фтп осуществляется по документации... По сути, у нас эта единственная проблема ;) А закрытие icq -- это спортивный интерес был ;)

vovans ★★★★★
()
Ответ на: комментарий от vovans

ну какже...

man ftp-proxy

разрешить демона в /etc/inetd.conf и настроить переадресацию порта 21 на внутренний интерфейс прослушиваемый ftp-proxy

как нить так

rdr on $int_if inet proto tcp from $inet_if:network to ! ($int_if) port 21 -> 127.0.0.1 port 8021, или какойтам будет слушаться

ну и правила фильтрации конечно настроить, в них все адреса и порты указывать !ТАК КАК ОНИ БУДУТ ВЫГЛЯДЕТЬ _ПОСЛЕ_ НАТа!

x86 ★★
()
Ответ на: комментарий от x86

>man ftp-proxy

100-150 клиентов и машина склеит ласты. OpenBSD - оно для маленьких домашних сетей.

anonymous
()
Ответ на: комментарий от anonymous

>Не спеши ставить 64, испортишь праздник геморроем :) Там много граблей и недоработок, масса софта маскирована и на стадии тестирования находится :) Подожди :)

Я уже скоро два года как под Gentoo/amd64 сижу. Проблем не было за это время особых.

Другое дело, что до сих пор 64 бита лично мне не дают никакой выгоды. Только памяти софт жрёт больше... :D

KRoN73 ★★★★★
()

А чем OpenBSD лучьше Linux ?

I_one
()

вчера в qemu пробовал поставить, но не осилил. После разбития диска установщик выдаёт ошибку и выкидывает меня в shell.

Evil_And ★★
()

Шутник такой, я прям не могу.

manokur ★★
()

Установил.Пока пробовал разбивать их дебильным fdisk'ом разделы, непонятно каким умом придуманным (наверное воспаленным), загубил соседний диск с виндой, хотя вроде логически правильно все делал. В общем не то, что в топку, но просто не понимаю, для какого мозга эта ФС сделана..

PS: С линуксом работаю около 10 лет.

anonymous
()

пЕар кривой и тормозной недооси задолбал.

geek ★★★
()
Ответ на: комментарий от anonymous

> PS: С линуксом работаю около 10 лет. 10 лет в кде

anonymous
()
Ответ на: комментарий от anonymous

>Кстати, на www.pgpru.com их криптофс не рекомендуют-говорят, лучше или линуховый cryptoloop, или NetDBSD-шный cgd

>anonymous (*) (01.01.200

В 4.0, к счастью, уже порешили эту проблему.

anonymous
()

> рекомендует начать 2007-ой год с установки новой

ы, жесть. 23:54, под крики "ВСЕ К СТОЛУ!" я судорожно перепиливал винт :)

> более безопасной операционной системы.

серьезно? :S "более" - по сравнению с чем, с оффтопиком? :)

isden ★★★★★
()
Ответ на: комментарий от isden

>серьезно? :S "более" - по сравнению с чем, с оффтопиком? :)

Есть системы более безопасные есть менее. Эта - более, что непонятно?

r ★★★★★
()
Ответ на: комментарий от r

> что непонятно?

непонятно, в чем и как измеряется эта "безопасность". в том что меньше ломают? так это напрямую от распостраненности системы зависит.

isden ★★★★★
()
Ответ на: комментарий от isden

> непонятно, в чем и как измеряется эта "безопасность". Допустим ,в количесте найденных дыр за определенный период времени, в оперативности выхода security fix-ов, в качестве используемых криптографических алгоритмов(и длине ключа).

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.