Gentoo - další linuxový projekt napaden hackerem

Kazdy system, at je to windows nebo linux nebo cokoliv jineho je vytvoren a napsan lidmi a v kazdem systemu se da najit chyba. To bylo, je a urcite "bude". A to plati i pro tolik vyzdvihovany linux. Je jasne ze boje mezi privrzenci linuxu a windows nikdy neustanou, ostatne je dobre ze system jako je linux existuje, protoze konkurence je vzdy potreba aby se vyvijelo a zdokonalovalo. Je fajn ze tu neco takoveho jako linux je ikdyz windows jsou proste windows. Misto hackovani systemu by se lidi meli venovat spis vyvoji a zdokonalovani techto systemu a aplikaci (ikdyz nevinny nedestrukcni hacking tomu muze nekdy pomoci tim, ze ukaze chyby a diry systemu jeho tvurcum a ti jej potom mohou zdokonalit a vylepsit). Fandim obema systemum, Windows i Linuxu, ale musim priznat, ze Windows beru a povazuji za profesionalni system, se kteremu se budu venovat.

"kteremu se budu venovat"

co to znamena venovat se systemu Windows?

postavit jej na nohy,
kdyz padne.
povolit snuru,
kdyz zmodra a je na dne.
a abych si s nim uzil
i trochu legrace
spoustet scandisk, defrag a antivir update
pravidelne pri odchodu z prace.

btw:mate pekny flame title:)
venovat=pouzivat a pracovat aniz bych se musel s*at s kompilovanim nejakeho jadra, hlidanim zavislosti a jinych 314covin
z prispevku mam pocit, ze kazdy z vas administruje minimalne autorizacni masinu nejake banky (i kdyz to byste spis kecali o komernich unixech) - tolik starosti o bezpecnost v pripade napr. domaciho pc?

S tím souhlasím, jsem v Linuxu začátečník a je pravdou, že nainstalovat Servicepack je 1000x jednodušší, než kompilace jádra. Nechci tu rozvádět, proč se tedy neučím, jak kompilovat jádro (prostě nemám čas na výzkum v OS, když mou náplní práce je tvorba WWW aplikací), ale tohle je prostě FAKT. Je pravdou, že na linux každý týden vyjde patch na jádro, zatímco na WXP musím na opravu čekat měsíce, ale k čemu mi je patch na linux, když jej jako laik nenainstaluju? Mám tu RH72 a jsem spokojenej jako blecha, že vůbec se mi podařilo zkompilovat základní jádro na 2xP4/RAID, natož abych patchoval každý týden s rizikem, že to pak nenaběhne. Můj závěr je prostý, pokud má být linux bezpečnější pro uživatele, musí dostat jednoduchý nástroj pro patchování....

asi nema cenu se poustet do velkych debat, ktere by stejne nikam nevedly, takze jenom kratka poznamka:

RH neni jedina distribuce GNU/Linuxu a existuji i jine zpusoby opravy jadra nez vlastnorucni stahnuti/patch/kompilace

Nepochopil si jednu vec, ten Linux mas zadarmo = musis tomu venovat svuj cas. Jestli se o to nechces starat sam, zaplat si nekoho, kdo ti ty zaplaty bude delat. Pokud tomu ten nekdo rozumi, pak ver, ze to bude daleko bezpecnejsi system, nez wokna.
Za wokna zaplatis uz pri nakupu, takze v ramci podpory mas instalaci opravdu jak pro debila. Na druhou stranu vybec netusis co,proc a kam se instaluje. Nemuzes nijak ovlivnit co se do systemu nainstaluje a co ne. Pokud do toho nevidis vubec, mas defaulne zapnuty wokeni sdileni = kdokoli ti muze browsit po disku.

Takze si proste musis vybrat. Bud investujes penize (a ne malo) za wokna a veskerej prislusnej SW (office ...) a samo kazdy 3 roky budes kupovat novou verzi, protoze na starou skonci podpora, nebo na pocatku investujes svuj cas a oplatkou mas pri spravnym vyberu distribuce kontinualni vyvoj (netreba instalovat zadne nove verze).

ses zacatecnik, proto di budiz odpusteno, ze placas nesmysly

kazda velka distribce (mdk, rh, suse, debian) lze zaplatovat jednim klikatkem nebo jednim prikazem s nesrovnatelne vetsim komfortem, nez je instalace service-paku - aktualizuje totiz zaroven celou distribuci -tisice programu, ne jen tech par napsanych primo dodavatelem (napr MS)

pokud sis pro zacatek vybral nejake distro, kde musis vse kompilovat, tak ti nejde o uzivatelsky komfort a jednoduchost

Nemonu souhlasit. Je to jako tvrdit, ze kdyz  miliony jsou v bance  a doma mate jen par tisic, nemusite zamykat. Jde o to, ze vetsina domacich uzivatelu ma na PC data, ktera by asi nechteli potkat nekde  jnnde. Zivotopisy, intimni fotky ucetnictvy do sve firmy a podobne. Nemluve o moznosti vyuzivat ziskany stroj k dalsi nelegalni cinnosti.

PrasatkoPee

Si to uzij.

podobna poznamka tu proste nemohla chybet

Ja teda woknum rozhodne nefandim. Je to komercni produkt, do ktereho se lije spousta penez a porad nic moc. Fandim lidem, kteri po vecerech delaji neco, za co nedostanou ani cent, kteri i pres posmivani se ruznych "odborniku" dokazi zlepsovat stale svoji praci.

Jestli je podle tebe "nic moc" ovladnuti kolem 95% trhu s OS pro desktopy mas zajimava meritka. Co se tyce oblasti serveru i tu neni procento Windows nijak zanedbatelne. Myslim si, ze spousta Linuxaru by byla nadsena kdyby takovouto penetraci mel Linux na desktopu.

Proboha nestraš tím lidi. Kdo by potom všem lidem doma dával linux do pořádku a co by lidi asi udělali s hromadama na linuxu nefunkčního hardwaru? To by se to všecko prostě vyházelo?

No, nic moc je podle mne treba to, ze se jednoduse neda u w2k vypnout swap na disk. 1G pameti, pres 750Mji je volne a na disku naswapovano. To je docela slaby, tohle na linuxu neresim. Dalsi vec je treba to, ze zadne windows co jsem zatim videl nejsou schopny naformat FAT32 treba na 120G disk. Musel jsem to udelat v linuxu a tak dale, naslo by se tech prkotin, co mi prijdou jako nedodelku docela dost.

O te 95% penetraci si povime za dva roky, to budou mit tak do 70% a do peti let 55% - 60% nejvice. Co se tyka serveru, ja osobne moc novym technologiim od MS neverim. Co dva roky technologicka obmena je z hlediska ochrany investic firem, ktere potrebuji na necem stavet svoje produkty uplne o nicem. Jestli jde MS to, aby existovala, vznikala/zanikala spousta malych firmicek v horizuntu tri let podle toho, jak prichazeji jejich technologie a lide delali jen to, co je prave in, tak jo, ale jinak teda slabota.

Je to IMHO firma marketingu a pravniku, bez kultury a slusneho chovani k zakaznikovi.

Jedine uplne uzavrenej system bez moznosti jakehokoliv pripojeni z venku a bez kontaktu s uzivatelem muze byt bezpecny.  www.interpol.cz

"Verze rsync 2.5.6 a starší obsahují chybu, která může být využita ke spuštění libovolného kódu na napadením stroji, ale pouze v případě, že má útočník rootovská práva"

Tak tomuto akosi nerozumiem. Kde ma mat utocnik rootovske prava? na svojom pocitaci, z ktoreho utoci (to je asi jasne ze ich ma)? Alebo na napadnutom stroji? Ale ak na napadnutom pocitaci ma rootovske prava, tak naco by este stracal cas s exploitovanim rsync-u, ked ako root moze spustit co len chce???

Nebolo to skor myslene "...ak rsync bezi s rootovskymi pravami"? Potom by asi aj kod (ktory sa spusti s vyuzitim nejakej chyby v rsync) mal rootovske prava, ergo neobmedzene...

"Nebolo to skor myslene "...ak rsync bezi s rootovskymi pravami"? Potom by asi aj kod (ktory sa spusti s vyuzitim nejakej chyby v rsync) mal rootovske prava, ergo neobmedzene..."

Proc v tom clanku teda potom operujou s chybou v kernelu? Spis to bylo tak, ze utocnik pres rsync ziskal nerootovska prava (ucet na nemz bezi rsync) na cilovem systemu a kdyz uz tam byl, tak vyuzil jeste chyby v kernelu a tim si opatril prava roota. V clanku je to popsano dost divne

Ota tomu vubec nerozumi. Proste to nekde obslehnul a amaterky prelozil.

Už Vas smich přešel a ještě přejde. ( To je pro ty co na forech melou proti windows)

ja se jeste ani bavit nezacal, zkompilovanej firebird a icewm na athlon-xp jede jak dabel :)) supr systemek, narozidl od widli, kde znamy chyby budou mozna opraveny nekdy devatyho a uz se pres ne hackuje nekolik dni :)) asi se brzo budete bavit o5 vy :))

A to jiste myslis ten Firebird SQL Server ze?

nene , ale kdyz uz databazi tak jedine oracle

To sis nekde precetl, vid? Nesmis verit vsemu

jelikoz me ma vydelavat na chleba, tak tomu budu verit rad :) rozhodne nejezdi ve starym krapu s cedulou kupujte nas pod okny pripadne konference konkurence :) kdyby alespon nasli slusnou dodavku, misto podivnyho krapu otravujici jiz tak znicenej vzduch v praze ...

vymena kernelu je na linuxu jednoducha zalzitost, v podstate to zvladne kazdy zacatecnik (samo predpokladam ze zacatecnik ke vztahu ke sve distribuci), na mdk staci napsat rpm -ivh novej_kernel.rpm a je nainstalovano

vymena kernelu je na linuxu jednoducha zalzitost, v podstate to zvladne kazdy zacatecnik (samo predpokladam ze zacatecnik ke vztahu ke sve distribuci), na mdk staci napsat rpm -ivh novej_kernel.rpm a je nainstalovano (totez jde nekde naklikat)

kompilacia kernelu ako jednoducha zalezitost? nesuhlasim...mozna pre nekoho jo...ale niesu vsetky distra ako mdk, ako v redhatu na mojom stroji je to celkem fuska...tam nestaci niekolko krat kliknut...

Netreba kompilovat. Muzete pouzit predpripravene binarni balicky.

Nejtezsi na kompilaci kernelu neni zadat tech par prikazu, to by se dalo vcelku snadno zautomatizovat. Dulezite je, aby clovek vedel, co od vysledneho jadra chce a jak se toho da dosahnout. To za cloveka zadna distribuce udelat nemuze. Jedine, co distributori mohou udelat za uzivatele je, ze pribali par patchu, ktere povazuji za uzitecne a maji je vice ci mene otestovane. Kompilace jadra nikdy nebude vec, kterou muze clovek neznaly veci sam uspokojive zvladnout.

Kernel se nemusi kompilovat - vsechny velke distribuce ho maji v predkompilvoane forme.
Napriklad u Mandrake mas na vyber z nekolika kernelu optimalizovanych na ruzne situace (obvykly, security, SMP, multimedia ...)
Ostatne i ten prikaz, co jsem napsal, je jen instalace binarniho balicku.

Prave jsem upgradoval kernel na dvou serverech.
Kazdy z nich mi zabral asi 2 minuty (pocitam v to i nalezeni spravneho odkazu na balicek a stzeni kernelu -na 100MB

Problem je prave jen a jen v restartu, nikdy neni stoprocentni jistota, ze vsechno najede a kdyz je ten server n hostingovym centru...
(i kdyz u predkompilvoanych kernelu se mi to stalo, jen kdyz jsem pouzil kernel z jiny verze distribuce -a i ten najel, jen se choval podivne, nastesti pc bylo ve stejnych prostorach jako ja, ted uz si davam sakra pozor)

U desktopu je asi nejvetsi potiz, stahnout si tech 15MB, instalace z prostredi KDE by pravdepodobne probehla po nakliknuti na stazeny soubor a vepsani hesla pro roota. U desktopu nepredpokladam, ze si nekdo hraje na uptime a nepretrzity provoz

Nejhorsi bezpecnostni chyba v Linuxu tento rok: Obskurni jednoradkova chyba umoznujici ziskat rootovska prava lokalnim uzivatelum nebo pres nektere ne dostatecne dobre napsane programy, ktere umoznuji spoustet neovereny kod utocnika.

Chyba, ktera byla bugreportovana kernelovymi vyvojari mesic pred jejim prvnim zneuzitim, ale ktera byla tak delikatni, ze bugreport proste "zapadl".


Nejhorsi bezpecnostni chyba ve Windows tento rok: Chyba ve sluzbe RPC (nekolikata v rade), umoznujici automaticky utok na miliony pracovnich stanic po celem svete a taktez s moznosti spousteni prakticky libovolneho kodu.

Jedine stesti bylo, ze ten cerv zadnou skutecne destruktivni akci nedelal.


A z tohohle ma podle nekterych plynout, ze Linux je mene bezpecny nez Windows? Vzpamatujte se, zadny system nenese zodpovednost za to, jak silny utok na ekvivalentne zavaznych chybach na nem nekdo provede.

Hmm budme objektivni ja bych zde zaradil i chybu v OpenSSH. Ziskani rootovkskych privilegii vzdalene. A prosim nerikejte zase ze OpenSSH neni primo soucasti Linuxu ne neni. Soucasti Linuxu je jen a pouze jadro ale s nim toho moc neudelate.
PrxRST();

Ano, bud me objektivni. Windows nejsou tak nebezpecna jak se obecne soudi. Treba ja pouzivam Open SSH i na nich.

PrasatkoPee

Open ssh server obvykle nebezi na linuxovych desktopech, pravda na serverech je to asi standard. Lze jen doufat, ze kdo si instaluje ssh, snazi se ho osetrit zatoven pomoci firewallu.

Existuji i jine ssh nez openssh (ale ja jsem pro open )

Netusim jak slozita byla oprava RPC, oprava ssh u mne probehla takto:
1. prisel email od mdk, ze vysla oprava
2. prihlasil jsem se na server (pres ssh omezeny jen na nektere IP)
3. urpmi.update -a (jako zdroj je v systemu jen aktualizacni)
4. urpmi --update --auto-select (vyjel seznam veci ktere lze zaplatovat a ja ho potvrdil jednim stiskem klavesy)

To je jeste porad moc slozite, ja napisu
# emerge sync;emerge world a je vymalovano :)

No opravu RPC jsem ani na svem desktopu nijak nepocitil. Mam nastavene automaticke aktualizace tzn. system automaticky kontroluje je-li k dispozici nejaka oprava a pote ji stahne a nainstaluje. Pracoval jsem na pocitaci, system bezproblemu sam nainstaloval aktualizaci a jsem byl jen vyzvan abych potvrdil restart stanice. Takze takto jednoduse mohou probihat opravy ve Windows.

no tak sa  pozri ako je to hore napisane ty vole ved uz len z toho textu je jasne ze je to siiilne subjektivny prispevok !!!!!!!!

ochrani me proti te posledni chybe v kernelu GRsecurity s volbama proti preteci buferu? nece se mi restartovat :)

Obavam se, ze proti teto chybe Vam GRsecurity nepomuze. Chyba crackerovi umoznuje zapisovat do adresoveho prostoru jadra. Crackerovi pak staci napriklad nekteremu svemu procesu prepsat uid na 0 a je to.

a ja myslel, ze grsec presne tomuhle zabrani...

grsec muze (mozna) zabranit zneuziti heap overflow v rsync. Rozhodne ale nepomuze proti te chybe v do_brk() v kernelu.