perche' la gente usa ancora la redhat?
Luca Giuzzi
giuzzi a tartaglia.dmf.bs.unicatt.it
Mer 28 Mar 2001 10:17:23 UTC
>
> /*
> * questa non vuole essere una mail che tenta di scatenare flame o cose del
> * genere... e' solo una domanda che mi sto ponendo da un po' di tempo
> */
>
> fatti:
>
> 1) mediamente le macchine qui in ditta subiscono un paio di attacchi al giorn
> o
> da gente che non sa cosa fare attaccata a internet.
>
> 2) il numero di vulnerabilita' scoperte giornalmente e' elevato:
> penso si stia sulle 2/3 nuove vulnerabilita' a settimana
> (e' una stima molto ottimistica penso)
>
> 3) tempo per seguire mailinglist di sicurezza diventa sempre minore per tutti
>
> a questo punto una semplice riflessione:
> avere un server su internet e' un rischio estremo.
>
> soprattutto se si ha poco tempo da dedicare all'amministrazione.
>
Sino a questo punto concordo piu' o meno appieno...
> esiste pero' un modo per risolvere (certo, non completamente) i problemi sopr
> a:
> si chiama 'apt', ed e' il sistema di installazione-update di debian.
>
Su questo non sono d'accordo... apt e' comodo, e' carino e sfrutta alcuni
aspetti nel formato di pacchetto ".deb" che mi piacciono abbastanza.
L'upgrade automatica del sistema non e' mai, pero', una buona soluzione...
la soluzione e' imparare cosa sta succedendo, seguire le liste di sicurezza
e (eventualmente, nel caso di una ditta) assumere piu' personale qualificato.
Una nota: OpenBSD si vanta di fare auditing del codice per tutta la
distribuzione... il risultato? Un pacchetto solido ma molto spartano...
X non e' installato di default e nel momento in cui si cerca di installarlo
compaiono warning a tutto schermo e si richiede di modificare una opzione
nel setup del kernel... d'altro canto un server web NON HA BISOGNO di X.
RedHat ha il brutto vizio di voler installare `di default' un sacco di roba...
roba utile per un desktop, un po' meno per una macchina da dedicare ad un
compito specifico: io mi sono ritrovato a dover cancellare una serie di
pacchetti indesiderati e indesiderabili che -francamente- non avrei mai
voluto. Python installato senza chiedere niente?? Io uso perl!! :))
Debian segue un approccio diverso (il sistema `base' e' piccolo),
ma la distribuzione `in se' ' e' enorme. Chi mette una macchina in rete deve
sapere i rischi a cui va incontro e agire di conseguenza: i servizi che
non si installano non possono essere compromessi, per cui se il ftpd
NON c'e', e' ben difficile che un malintenzionato possa usarlo per forzare
il sistema.
>
> ma nessuno lo usa.
>
>
> mi piacerebbe capire il perche'...
>
> la debian fa paura?
No... e apt e' stato portato pure per rpm, se e' per quello...
>
> la gente si trova cosi' bene con redhat et similari da non voler cambiare
> distribuzione?
>
Vedi sopra. Tieni conto pero' che cambiare distribuzione non e' un passo
fattibile a cuor leggero. Ci sono personalizzazioni, scripts e
idiosincrasie da considerare. A questo si aggiungono incompatibilita' fra
le varie versioni di glibc e di gcc. Credimi: e' una esperienza
illuminante ma NON piacevole e la perdita di temo e' superiore a quella
di leggersi bugtraq.
>
> --
> /* Usage: cat title-key scrambled.vob | efdtt >clear.vob */
>
> #define m(i)(x[i]^s[i+84])<<
> unsigned char x[5],y,s[2048];main(n){for(read(0,x,5);read(0,s,n=2048);write(1
> ,s
> ,n))if(s[y=s[13]%8+20]/16%4==1){int i=m(1)17^256+m(0)8,k=m(2)0,j=m(4)17^m(3)9
> ^k
> *2-k%8^8,a=0,c=26;for(s[y]-=16;--c;j*=2)a=a*2^i&1,i=i/2^j&1<<24;for(j=127;++j
> <n
> ;c=c>y)c+=y=i^i/8^i>>4^i>>12,i=i>>8^y<<17,a^=a>>14,y=a^a*8^a<<6,a=a>>8^y<<9,k
> =s
> [j],k="7Wo~'G_\216"[k&7]+2^"cr3sfw6v;*k+>/n."[k>>4]*2^k*257/8,s[j]=k^(k&k*2&3
> 4)
> *6^c+~y;}}
Una nota a margine:
le upgrades automatiche sono una brutta cosa(tm). Il sistemista coscienzioso
provvede all'auditing di tutto il codice per i servizi di sistema
installati sul suo server... o quantomeno controlla che cosa sta installando
e/o ha installato. Forzare un sito ftp (la storia dei tcpwrappers insegna)
e' piu' facile di quello che sembra e distribuire codice `con trojan' non
e' poi cosi' difficile (si', lo so... firma digitale, ma leggiti la
vicenda Verisign/Microsoft).
Ciao,
lg
Maggiori informazioni sulla lista
Lug
|