Anička z říše Linuxu: Bezpečnost Linuxu trpí kvůli administrátorům

Z nekterych vyrazu v clanku jsem pocit jako by autor nemel linux zrovna 2x rad?! Jinak nemam nic proti kritice.Je dobre se ukazuji chyby na OS at uz to je win,linux nebo dalsi.

Otevrenym BSD je mineno open source BSD - coz je krome OpenBSD take FreeBSD, NetBSD, DragonFlyBSD a buhvico jeste, kdo to ma porad psat .o)))

Bezpečnost každého OS trpí kvůli nekvalifikovaým adminům, co k tomu dodat?

Snad bych jen podotkl, že v tomto případě na tom můžou být Windows o cosi lépe než Linux, protože se snaží být alespoň trochu blbovzdorné. Linuxu ale na druhou stranu nahrává to, že Admina nemůže dělat každá Lama

admina linuxu nemuze DOBRE delat kazda lama - zatim nicmene casto plati, ze linuxoveho admina dela lama, protoze linuxovych odborniku je zoufale malo - proto taky berou ty prachy.

Může to být i něčím jiným, studie srovnává veškeré OS, které jsou v provozu, tedy i ty docela fousaté.
A starých nezabezpečených linuxů běží spousta. Oproti tomu hojně používané serverové OS jsou až w2000, ale hlavně w2003.
Z toho plyně, že se srovnávají různě staré OS a nic to neříká o šancích na průnik do nejnovějších distribucí.

Také je možné, že ten, kdo nemá na drahá okna, nemá ani na drahého správce. A tak použije linux a nějak to zbastlí(jako já:).

Celkom dobre na pobavenie hned zranka :)

Zajímavostí je, že něco podobného jako "Hot words," totiž "Smart Tags," měly původně obsahovat i Windows XP. Microsoft se ale nakonec rozhodl je zrušit. Byl totiž kritizován za to, že zahrnutím vyhledávání do Windows poškodí konkurenci na trhu vyhledáváčů.
 
Moc zajímavé.... Tak chrání antimonopolní opatření zákazníky, nebo konkurenci Microsoftu ? Windows jsou přece plné věci, které může za Microsoft dělat kdokoliv jiný - od síťových vrstev po GUI - to má přestat Windows vyrábět nebo dodávat kernel, jen proto, aby se konkurence necítila ohrožena.. ? A Linspire prohledávače neohrožuje ? Proč taková "pravidla" platí jen pro někoho ?

windows mali na smarttags len jediny vyhladavac. tipol by som si, ze linspire umoznuju si ten vyhladavac vybrat v tom by rozdiel byt mohol, nie? ked uz nie v tom, ze si tam Linspire urcite neprotezovali nejaky svoj vyhladavac

v tom je ten "antimonopolny" rozdiel. ked uz nie v tom, ze beztak je medzi linspire a windows "trosku" rozdiel v pokryti trhu.

treba byt trosku viac pragmaticky a logicky a vyjde nam to nejako takto

k tomu pomeru co je kde castejsie: viry alebo priame utoky - z pohladu, ze castejsie su kompromitovane stroje prave virusmi vychadza jednoznacne windows a to nielen servery ale aj koncove stanice - co je predsa len hrozivejsie a tie laviny zazivame denne. No a potom su tu priame utoky robene zivymi ludmi proti konkretnym strojom - tu uz je ich pocet radikalne mensi a ja osobne si myslim, ze pomer je tam vyrovnanejsi pricom linux je lakavejsia obet.

vyhoda opensource je snad iba v tom, ze "viac oci - viac vidi", je na posudeni kazdeho ci je to lepsie - zatial to vychadza, ze ano.

otazka "leniveho administratora" je presne tak ako spomina clanok, nad tym sa spekulovat vela nemusi - urcite na bezpecnost nema byt odkazany samotny administrator stroja, ten sa viac zameriava na ulohy, ktore ma stroj plnit a na bezpecnost si zavola odbornika "viac oci - viac vidi" resp. sa spolieha aj na predradeny firewall, nielen na ten co ma priamo v stroji. Pokial mate v sieti dobry firewall, tak minimalne odchyti zakladnu sadu exploitov a zvysna praca je na samotnom stroji, aby odchytil pokusy o kompromitaciu po otvorenych kanaloch. proste je doba, ked na jeden stroj jeden clovek nestaci.

teda jestli je to v tomhle pripade fakt jenom o "pokryti trhu", tak to mluvi samo za sebe...

taky vam pripada zajimave, jak mnoho lidi zjevne enchape antimonopolni zakony?

No a potom su tu priame utoky robene zivymi ludmi proti konkretnym strojom - tu uz je ich pocet radikalne mensi a ja osobne si myslim, ze pomer je tam vyrovnanejsi pricom linux je lakavejsia obet.

no ono jde hlavne o to, ze kdyz nekdo chce napadnout konkretni stanici (a neni to zrovna pocitacove negramotny hovado), tak na tu stanici nejdriv pusti "vsechno co najde".
Je to levne, rychle, efektivni (obzvlast v pripade windows).

No a teprve na to co zbyde se utoci "sofistikovane".

Takze kdyz nejaka spolecnost vytridi nesofistikovany utoky, tak je linux holt nejnebezpecnejsi. Jenze IMHO je to diky velkymu procentu stroju, ktery tim sitem projdou.
Narozdil od takovych win, kde projdou jen ty fakt dobre chraneny (no a tady proste plati, ze kdyz nekdo svy praci rozumi, muze mu tam bezet temer cokoliv).

ne takova pravidla plati jen v pripade kdy muze nejaka spolecnost ziskat monopol (nebo spis dotahnout svuj trzni podil k necemu co se monopolu podoba ). Tak to neni jen v pocitacich, ale vsude antimonopolni urady maji jak USA tak CR a nezabyvaji se jen microsoftem.

Výsledky Linuxu by byly bezpochyby lepší, kdyby byly započteny virové nákazy Windows, ovšem bezpochyby horší, kdyby byl rozšířen tak, jako Windows, čímž by se k nedbalým administrátorům přidali zástupy laických uživatelů. Z tohoto hlediska je srovnání Linuxu a Windows na serverech docela objektivní, protože zde se používají oba systémy k podobným účelům a jasně vyniknou jejich přednosti a nevýhody.  Jsou zde taky přibližně stejně rozšířeny (oba cca po 30%) a jsou používány podobnou vrstvou podobně kvalifikovaných uživatelů.
 
Z podobných statistik určitě nevyplývá, že je jeden systém bezpečnější než druhý, protože s vynaložením určitého úsilí a kvalifikace jdou určitě zabezpečit oba dva. Ale nasvědčují tomu, že právě toto zajištění a udržování této bezpečnosti není na obou systémech stejně jednoduché. Fandové Linuxu často tvrdí, že Linxuu dávají přednost technicky způsobilejší uživatelé, dokonce s vyšším IQ a adminy Windows posměšně označují za klikoše. Jenže jak je potom možné, že právě tito uživatelé mají tak špatné výsledky ? Vysvětlení je možné dvojí - buďto je konfigurace Linuxu do požadované úrovně zabezpečení skutečně objektivně nepřehlednější, složitější a obtížnější, než na Windows. Anebo jsou zmínění administrátoři v průměru na svou práci připraveni hůře, např. tím. že se rekrutují z vrstev IT specialistů s nižšími příjmy (kde pak ale jsou potom ty údajně mnohem lepší pracovní pozice na Unixech ?) . Pravda je zřejmě  někde uprostřed. Dále je také vidět, že všeobecně vyšší vybavenost Windows (GUI, různé služby a zbytečné ActiveX komponenty) ve skutečnosti nepředstavují tak velké bezpečnostní riziko, jak se jim přičítá, pokud se s nimi nakládá správně. 
  
Buď jak buď, je to satisfakce (a nikoliv první) pro bezpečnostní koncepci Microsoftu a ClosedSource vůbec. O OpenSource se často tvrdí, že je v principu bezpečnější. Postupně se ukazuje, že v principu možná, ale v praxi už to tak slavné není. Co se týče situace na desktopech, zde Linux těží ze své pozice okrajového systému, který je mimo střed zájmu autorů červů. Ale nedělám si iluzi, že kdyby byly tyto systémy rozšířeny stejně, mezi vrstvami stejně kvalifikovaných uživatelů, že by Linux dopadl nějak lépe. Nepřehlednost jeho konfigurace by se jistě projevila i v této oblasti. Je to ostatně vidět třeba na nedávné akci Mozilla Foundation, která uživatele motivovala ke hledání chyb finanční odměnou. Do měsíce jich uživatelé našli tucet - z toho je vidět, jak silnou roli při odhalování slabin systému hraje motivace.

Dobry UNIX spravce moc prace nema, ale musi mit pomerne velike znalosti a zkusenosti. Neni tady moc firem, ktere si mohou dovolit dobre platit cloveka, ktery "skoro nic" nedela. Pak to podle toho vypada...

Osobně Linux využívám téměř výhradně a konfigurace (tj. editování textových souborů v /etc) mi jako horor nepřijde. Když tomu člověk nerozumí a je dobrý nástroj pro GUI, tak je určitě rychlejší "si to naclickat". Pokud věci rozumí, není většinou problém dopsat nebo upravit pár slov a je vystaráno (tady myslím je to "vyšší IQ" - viz. RTFM ). S viry souhlasím, kdyby byl linux víc rozšířen, jistě by se nějaké ty díry našly :).

To je zaver jak stehno . Jako nejlepsi se ukazi systemy na bazi otevreneho BSD, ale Vy z toho vyvodite, ze bezpecnostni koncepce Microsoftu a ClosedSource je jasnym vitezem .

myslim ze tebou uvedeny prikla s Mmozillou svedci prave PRO Mozillu. Samozrejme ze diry se najdou vsude - ale podstatne je, ze je nutne chyby aktivne hledat, transparentne priznavat a urychlene odstranovat. Mozilla mmj. vypsanim odmeny dokazuje, ze tohle chce delat. U MS to bohuzel nevidim.
co se tyce administratoru - ano, je mozne, ze linux klade na administratora vyssi naroky, a ze zatim neni dostatek kvalitnich levnych linuxovyh adminu. to se ale muze (nerikam ze musi) s rozsirenim linuxu pomerne rychle menit. kazdopadne v tomhle zprava vypovida o adminech a nikoli o linuxu jako takovem - coz je potreba rozlisit.
dalsi vec je, ze delat zpravu o bezpecnosti a nezahrnout tam viry apod. povazuju za dosti pochybne. vubec si nemyslim, ze to, ze v soucasnosti je linux bezpecnejsi z hlediska viru, je zpusobeno VYHRADNE tim, ze linux neni rozsireny. Predpokladam, ze pokud se linux vice rozsiri, objevi se vice nakaz na linuxu. Nicmene se domnivam, ze prave diky odlisne architekture je lin prece jen mene nachylny a "zamorenost" linuxu i pri jeho rozsireni nedosahne urovne Windows.
V mnoha vecech (obtizna konfigurovatelnost pro laiky) s vami souhlasim - nicmene bych vysledek teto studie rozhodne neinterpretoval jako vitezstvi closed source (jak vidno, nahore se umistila open source BSD)
a dovolim si take poznamenat, ze tu studii povazuji z metodologickeho hlediska za pomerne pochybnou - sice jsem ji necetl, ale uz podle teto anotace srovnava nesrovnatelne a kdybych se pokusil neco podobneho obhajovat jako diplomku, asi bych mel velke potize.

ad ta studie o bezpecnosti - muzete prosim prihodit link?
dikes, H.

http://mi2g.org/, konkretne treba http://www.mi2g.net/cgi/mi2g/frameset.php?pageid=http%3A//www.mi2g.net/cgi/mi2g/press/021104.php

Samozrejme ze bezpecnost systemu zalezi na uzivateli/spravci. I system s bezchybnymi porgramy muze podlehnout utoku. Pro me je velky rozdil mezi Windows a napr. Debianem. Vetsina oprav pro Deb. je k dispozici daleko drive po objeveni chyby, nez u Win. a hlaven tam nejsou problemy typu SP2, kdy po aplikaci bezpectnostiho update prestane fungovat pulka systemu - takovych pripadu znam dost.

Tomasi.tomasi...kdyz nerozumis MS Windows tak zustan u "svyho" Debianu a neplet se do neceho co je ti cizi tj. konfigurace Win XP se SP2...a vem na vedomi, ze nestací jen nainstalovat zaplatu a system se nejak sam nastavi...radeji si pred instalaci updatu precti ceho se tyka abys pak nebyl prekvapenej JAK TO ZE TO NEFUNGUJE! 

Proboem je v tom, ze u Linuxu se v dokumntaci da najit, ceho presne se upgrade tyka (changelog), zatimco u Windows se ve vetsine pripadu administrator muze takmaximalne modlit, aby se nezhroutila nejaka kriticka aplikace.
Mimochodem: Ponekud jsem nevidel pred vydanim SP2 pro WXP seznam aplikaci, ktere s nim fungovat nebudou. Vy jo?

O kvalite systému záplat MS svědči fakt, že cca před půlrokem jsem musel hodně rychle volat zákaznikovi ať nedává zaplatu IE na server, protože bylo zjištěno že už pak nemusí najet Oracle. Což je parádá protože chyba se týkala IE, ale ostřelí úplně něco jiného.

Z Vaseho prispevku mne oslovila jedna veta:

Nepřehlednost jeho konfigurace by se jistě projevila i v této oblasti.

Pokud v registrech windows (jako hlavnim ulozisti konfigurace systemu) shledavate mensi "bordel" a mocnejsi nastroj nez v unixovem /etc, je mi Vas uprimne lito. Pokud se chceme bavit o ne/prehlednosti cehokoliv tak srovnavejme srovnatelne a nezamlcujme veci ktere se nam zrovna nehodi . Klikaci rozhrani je vsude stejne, akorat v linuxu uklada hodnoty do /etc/nec, kdezto ve windows do systemoveho registru (a samozrejme do /winnt/system32/drivers/etc, .ini souboru ve /winnt/ a tak dale , coz je nesporne prehlednejsi).

Moderni linuxova distribuce ma drtivou vetsinu (systemovych) konfiguracnich voleb prave v adresari /etc (osobni jsou logicky v domovskem adresari). Vetsina distribuci take pouziva nejaky graficky konfiguracni nastroj (napr. Yast) a tudiz Vas nikdo nenuti editovat soubory rucne pomoci Vi, nebo jineho oblibeneho editoru . Pokud ovsem davate prednost rucni konfiguraci, porad nejste tak v pr..li jako v pripade registru systemu windows (rec je o radovem administratorovi). Pokud nekdo pouziva na linuxovem serveru graficky rezim je to jeho volba kterou nikomu neberu.

Zasadni rozdil mezi textovym konfiguracnim souborem a binarnim registrem Vam urcite nemusim pripominat (pripomene Vam ho nejblizsi obnova poskozenych registru Vaseho systemu ).

Klice v registrech nejsou (narozdil od obsahu /etc) nijak komentovany, a pokud k nim nemate patricnou "kucharku" (nejsou v zakladni instalaci OS), pripadne to neni jedina cinnost ktere se venujete, mate mnohem vetsi problem nez s /etc, coz s nejvetsi pravdepodobnosti plati pro drtivou vetsinu windowsovych "administratoru" takze tento argument si (s prominutim) strcte nekam.

Ale registry jsou moderni, a je to klikaci, tudiz to nejlepsi co muze byt. Jak by se s tim mohl srovnavat 30let stary system editace init fajlu, ze

PS:
Prispevek je myslen jinak, nez by mohl na prvni pohled vypadat. A snad pochopi kazdy ironii.

ja si klikam aj do tych textovych ini
mne moja skusenost ukazuje, ze koncepcia vsetka konfiguracia v jednom subore vo windows skor zlyhava ako pomaha. Kolko softwaru si uklada konfiguracne parametre nakoniec mimo registry? Tvrdil by som, ze vacsina

INI su textove a tym padom minimalne prestudovatelne, akakolvek ina forma uz ziada nejake nastroje na ich spravovanie.

A obcas nie je nad to si zobrat ini programu domov a pomalicky ho prejst v klude v editore, len preto, ze v INI mam zvacsa aj okomentovane parametre, co sa akosi v Registry nenosi a casto tam niektore volby ani nemam a objavujem ako Anicka v risi divov kdesi na internete o tom ako si mozem tym a tym cosi "natweakovat".

Autor programu s INI zvacsa vsetky volby okomentuje a defaulty zakomentuje.

Ver mi, ze nakoniec je to praktickejsie ale nie "pre kazdeho", ale ani Registry akosi nie su pre kazdeho

takze ms je kritizovan za to ze by chtel pridat do winu smarttagy ale lindows ale lindows je tam proste strci a nikdo ani necekne..kam ten svet speje

nejen linuxu delaji neschopni administratori ostudu vzdyt i winy by byly mnohem bezpecnejsi kdyby se jejich administratori o ne starali a nasadili kvalitni antvir+firewall

hmm, jenze to je neco uplne jineho - podstatne je, ze Linspire nema monopol, tudiz nemuze zneuzivat monopolni postaveni. navic je neco jineho, jestli Linspire provazuje to sve vyhledavani s nejakym svym vyhledavacem, na kterem vydelava (coz pochybuju), nebo k tomu vyuziva nejakou technologii treti strany, a nebo dokonce nechava na uzivateli, od koho vyhledavani zvoli.
a jeste poznamka - kdyby MS povolili ty jejich smart tags (predpokladam ze integrovane s MSIE a MSN), tak by to opravdu poskodilo konkurenci a tim i nas vsechny. ale to, ze to tam nesmeli dat, samozrejme taky zpomalilo vyvoj - coz je dle meho nazoru krasnym prikladem toho, ze monopolni trh je VZDY skodlivy, a uz aby se vynorila nejaka skutecna konkurence pro MS (nepochybuji ze i microsoftum by to v mnohem pomohlo... svym zpusobem)

no, IMHO by bohate stacilo, kdyby si uzivatel pri instalaci musel zvolit defaultni vyhledavac. Podobne, jako si musi zvolit casovy pasmo, republiku a spoustu dalsich kravin, ktery ja osobne povazuju za nedulezity a otravny.

A samozrejme by pak mel moznost si to z Woken zmenit. Jenomze nez zavist neco takhle otevrenyho a ferovyho, to to radsi zrusi

A pokud jde o tu technologii, tak ta je fakt super. Jeste by to mohli zkombinovat se slovnikem a bylo by to doslova éňo-ňéňo.

Jenom poznámka - ta filosfie - Windows by byly bezpečné, kdyby admini používali (dobře používali) firewally a antiviry.. mě dostává. Jde o produkty třetích stran, navíc s nemalými vedlejšími náklady (které Gartner "zapomíná" zmínit) s Windowsy nijak nesouvisející a vůbec nic neměnící na faktu, že ten systém je velmi nebezpečný. Podle této filosofie můžu tvrdit, že Trabant je velice bezpečné vozidlo. Když si na čumák a na boky přiděláte tak asi metr a půl molitanu...

ano samozrejme winy jsou dost nebezpecny sys ale nemyslite ze je levnejsi investovat do firwallu a antiviru nez si pak pocitat jake skody napachaly viry?