Autor: Marcin Strzyzewski (marti_at_posejdon.mimuw.edu.pl)
Data: Wed 28 Feb 1996 - 10:32:40 MET
Hej ..
wiec to bedzie moze z konecznosci ograniczone do minimuw swego rodzaju
porowannie bezpieczenstwa dwoch systemow na i386 : Linux i FreeBSD.
Moze na samym poczatku warto byloby przypomniec bardzo krotka historie tych
dwoch systemow.
Linux
-----
Zostal on stworzony przez Linus'a Torvaldsa okolo 1991 roku. Juz wiec
widzimy iz jest to system mlody.
FreeBSD
-------
Wywodzi sie z 386BSD ktore na rynku ma okolo 20 letnia tradycje. Jest wiec
dosc dojrzalym i przemyslanym systemem.
Ale do rzeczy.
Ogolnie moim zdaniem FreeBSD przewyzsza Linux'a przy instalacji 'dziewiczej'
W Linuxie:
- istnieje bardzo wiele niepotrzebnych wrecz suid'ow ( zwlaszcza w
Slackware jak : /usr/lib/svgalib, niedawno wykrtye w splitvt, dip,
oraz wiele inncyh )
- poza tym jest dosc duzo zle ustwaionych praw zapisu do katalogow jak
/var/spool/mail itp
- tcp wrappers wymagaja koniecznie rekompilacji z parametrem -DPARANOID
to co jest dostraczane firmowo jest delikatnie mowiac niewystarczajace ( jak
dla mnie ;) )
- zle zrekompilowany wu-ftpd demon dajacy w latwy sposob mozliwosc
shackowania maszyny /path-exec/
to by bylo kilka glownych 'wad' Linuxa. Jednakze po okolo tygodniu
intensywnej pracy mozna system uczynic BARDZO bezpiecznym.Wymaga to jednak
odrobine pracy, co jest niektorym adminom na reke :) 'po co sie meczyc ? no
nie ?'
Istenie bardzo duza liczba programow 'third-party' nie dostarczana z Linuxem
standardowo. Prowadzone sa prace majace na celu wprowadzenie jako standardy
w linux tzn shadow-passwords /pan Marek Michalkiewicz/
FreeBSD:
- standardowo zainstalowane shadow passwords oraz metoda kodowania hasel
MD5 -daje to mozliowsci hasel do 128 znakow, oraz jest niekompatybilna z
DESem ( zrozumiale ze wzgledow zakazu exporty systemow kryptograficznych
poza usa ) - tak wiec wszelkie programy typu Crack odpadaja juz na starcie
- standardowo zaisntalowane S/Key - one time passwords - system generuje
'pytanie' a my mamy mu 'odpowiedziec' z puli dostepnych odpowiedzi ( to tak
z grubsza ) i za kazdym razem haslo jest inne - wiec nie ma mozliwosci
podejrzenia hasla przez 'kolege'
- standadrowo system autentyfikacji Kerberos - system autentyfikacji
uzytkownika w sieci - zastwosowano tutaj nie oryginalnego kerberos'a lecz
wersje eBones
- standarowo zainstalowany firewall /w Linux nie ma standardow aczkolwiek
istnieje takie cos : ipfwadm-1.2.tar.gz
- ogolnie o wiele mniejsza liczba suidow - caly system wydaje sie byc
przemyslany
W sumie dla wprawnego roota dodanie tych kilku 'przewag' do Linuxa to
kwestia tylko kilku dni. We FreeBSD mamy to standardowo zrekopmpilowane
i gotowe do pracy /trzbea tylko sknfigurowac dla wlasnych potrzeb/
poza tym z mojej praktyki /hackersko-administracyjnej :) / wiem
iz systemy FreeBSD sa o WIELE rzadziej lamane niz Linux'y.
( sam osobiscie znam doslownie kilka metod na zlamanie FreeBSD )
hmmm to by bylo tak z grubsza porownanie. Nie ma sensu sie wglebiac dalej
gdyz spowodowaloby to dosc duze rozmaiwry postingu. W tym momencie zostaja
juz tylko szczegolowe pytania.
Przy wyborze systemu nalezy zadac sobie proste pytanie :
'do czego ma slyzyc host? '
Jesli chcemy sie 'bawic' dodawac nowe rzeczy upgrade'owac ja bym wybral
Linux.
Jesli ktos chce postawic system i pojsc do domu, zpaomniec proponowalbym
FreeBSD.
PS. wow..jesli ktos tu dotarl to moje gratulacje
PS.2. w domu mam i Linux i FreeBSD ;) / mialem kiedys NetBSD - ale moje
zdanie o nim to inns sprawa - fakt ze ma TOTALNE glupia procedure
instalacyjna - nie dosc ze nie mozna z partycji msdos'a to na dodatek
jesli bootnelismy sie z malej stacji musimy instalowac z duzej i odwrotnie -
a co mam ja zrobic jak moja A to 3.5 , a B to 5.25 ? niby zgrac sobie NetBSD
na duze dyskli..tylko skad ja wezme 20 dyskow 5tek ? jak w domu nie mam ani
jednego ? wybralem wiec FreeBSD 2.1 :)
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~
Marcin Strzyzewski
future network, unix, security guru
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Tue 18 May 2004 - 12:39:20 MET DST