Debian manca funzionalità di sicurezza?

Naviga le tue risposte
0

Debian (stable) è una distro Linux per server ben rispettata. Sono stato sorpreso di vedere che nella loro incrinatura dettagliata ( link ) non supportano gli eseguibili indipendenti dalla posizione (e ASLR e qualche altro utile bandiere di sicurezza) nell'ultima build stabile (Wheezy), mentre la maggior parte delle altre distribuzioni supporta queste cose.

Dato che la stable Debian ha superato la prova del tempo, penso che devo aver pensato che queste caratteristiche di sicurezza siano molto più importanti di quanto non siano in pratica.

Qualcuno può spiegare perché Debian è in grado di cavarsela senza avere queste caratteristiche di sicurezza e non essere hackerato fino all'età della pietra ogni giorno?

    
posta Anthony Kraft 04.03.2014 - 09:19
fonte

2 risposte

0

Direi che Debian se la cava per diversi motivi.

  • Le persone non sanno che queste funzionalità di sicurezza esistono e quindi non le richiedono.
  • Le persone si aspettano che Debian sia sicuro e non controllano se lo sono realmente.
  • Se i tuoi pacchetti sono aggiornati e corretti per le vulnerabilità, PIE e ASLR aiutano molto poco, tranne contro gli exploit di 0 giorni.
  • Alla maggior parte delle persone non interessa la sicurezza elevata.

Utilizzo Debian sui miei server da più di 10 anni e, a causa di questa mancanza di sicurezza da parte loro (tra le altre ragioni) sto migrando a CentOS 7 quando è rilasciato in pochi mesi.

    
risposta data 05.03.2014 - 08:25
fonte
0

Ci sono alcuni commenti interessanti sull'implementazione di mitigazioni contro gli attacchi usando cose come ASLR su sistemi operativi da Windows, OSX, GNU / Linux e i BSD di Theo De Raadt del progetto OpenBSD, che puoi trovare qui:

link

Per rispondere perché Debian non li ha ancora implementati, però - È difficile rilasciare questo tipo di cose in sistemi che non sono stati costruiti per le mitigazioni, in primo luogo, e non avere cose irrisolte ovunque senza un lavoro serio messo in codice correzioni su tutta la linea, da quello che raccolgo. La mia unica ipotesi è che il team Debian abbia le sue priorità sparse altrove. Ci sono alcuni dettagli in più nelle diapositive / diapositive, potrebbe richiedere del tempo per modificarle in seguito se ricordo di non dover essere spento dal computer e in viaggio verso il lavoro.

    
risposta data 05.03.2014 - 19:23
fonte

Leggi altre domande sui tag

Alla ricerca della versione compilata di Metasploit Sfruttamenti locali di Windows [chiuso] Converti il file di chiave pubblica RSA SSH nel certificato x509