sicurezza
Luca Giuzzi
giuzzi a dmf.bs.unicatt.it
Mer 24 Gen 2001 16:27:19 UTC
Mah... fra rpm e deb ci sono delle differenze `di filosofia' abbastanza
rilevanti: rpm calcola le dipendenze "per file"; dep lo fa "per pacchetto".
Entrambi gli approcci hanno i loro aspetti positivi:
dipendenza `per file' vuol dire che si verifica l'esistenza di un
file richiesto nel sistema ma non il pacchetto corrispondente: la cosa
e' ottima, soprattutto se ci sono un po' di pacchetti compilati `in situ',
ma rende praticamente impossibile fare updates automatiche (soprattutto
se le dipendenze cambiano fra diverse versioni del pacchetto);
dipendenza `per pacchetto' e' utile, ma non e' troppo piacevole vedersi
sovrascrivere l'ultima versione di XFree scaricata da CVS e compilata
con -O99 per il semplice fatto che un pacchetto `vede' una versione
piu' vecchia.
In ogni caso:
1. l'update automatica e' una cosa che piace tanto a M$ ma che dovrebbe
far inorridire un sistemista: ci sono tutta una serie di denial of
service e di sproofings che sono possibili in questi frangenti...
firmare i pacchetti con una chiave pubblica (come suggerito per i
mantainer sotto debian) aiuta ma rimane sempre la possibilita' di
danni gravi...
2. le updates sono una necessita', soprattutto per sistemi `visibili'
dall'esterno: vulnerabilita' ne vengono scoperte con frequenza
pressoche' quotidiana, alcune dovute a cattivo stile di programmazione,
altre effettivamente dovute a `tecniche nuove': anche la distribuzione
piu' sicura (probabilmente debian-stable per linux; decisamente OpenBSD
fra i sistemi liberi e non) puo' essere vulnerabile a queste.
Consigli sono di iscriversi se non a bugtraq (troppo traffico, forse),
quantomeno alle liste `announce' delle distribuzioni installate e di
provvedere agli aggiornamenti con frequenza piuttosto alta.
Ciao,
lg
Maggiori informazioni sulla lista
Lug
|