Добрый день!
Есть желание повысить безопасность стандартного ядра линукса, накатив какой-нибудь патч. В интернете можно найти много таких патчей, типа openwall, grsecuriy, PaX, rsbac, wolk и др. Подскажите, какие из них имеет смысл использовать (надежность, стабильность и т.д) ?
С уважением, Илья.

• linux security patches,uldus, 22:10 , 15-Июн-03
  • linux security patches,IlyaGNU, 17:45 , 17-Июн-03
    • linux security patches,uldus, 23:52 , 17-Июн-03

>Есть желание повысить безопасность стандартного ядра линукса, накатив какой-нибудь патч. В интернете
>можно найти много таких патчей, типа openwall, grsecuriy, PaX, rsbac, wolk
>и др. Подскажите, какие из них имеет смысл использовать (надежность,

openwall можно использовать. Его автор относится к тем специалистам, коду которых можно полностью доверять (кроме упомянутого Александра, еще могу отнести к этой категории авторов postfix, qmail). Вероятно скоро к ним присоединится автор vsftpd и еще пару человек, которых сейчас не вспомнил.

Технология "базара" мне не симпатична, не может толпа создать шедевр,  отсутсвие централизованного проектирование и непредсказуемое обрастание фичами дает свои плоды, как в виде полной потери стройности и логичности проекта, так и появлением в bugtraq и возникновением ситуации когда починив очередную ошибку при этом создают две других. Сейчас появилось очень много софта, который просто так не проабгрейдишь на новую версию - есть опасность нарваться на более серьезные грабли, нежели те на который стоишь в данной версии. И это далеко не только открытый софт, коммерческий не остает, и Cisco IOS тому лучший пример.

>>Есть желание повысить безопасность стандартного ядра линукса, накатив какой-нибудь патч. В интернете
>>можно найти много таких патчей, типа openwall, grsecuriy, PaX, rsbac, wolk
>>и др. Подскажите, какие из них имеет смысл использовать (надежность,
>
>openwall можно использовать. Его автор относится к тем специалистам, коду которых можно
>полностью доверять (кроме упомянутого Александра, еще могу отнести к этой категории
>авторов postfix, qmail). Вероятно скоро к ним присоединится автор vsftpd и
>еще пару человек, которых сейчас не вспомнил.
>
>Технология "базара" мне не симпатична, не может толпа создать шедевр,  отсутсвие
>централизованного проектирование и непредсказуемое обрастание фичами дает свои плоды, как в
>виде полной потери стройности и логичности проекта, так и появлением в
>bugtraq и возникновением ситуации когда починив очередную ошибку при этом создают
>две других. Сейчас появилось очень много софта, который просто так не
>проабгрейдишь на новую версию - есть опасность нарваться на более серьезные
>грабли, нежели те на который стоишь в данной версии. И это
>далеко не только открытый софт, коммерческий не остает, и Cisco IOS
>тому лучший пример.
Если я правильно понял по Owl, то можно скачать их патч к ядру, и использовать пропатченное ядро, например, в Debian, а не только в их Owl-платформе?

А как насчет использования RSBAC? Альтлинукс как-то делал дистрибутив с использованием RSBAC - на сайте хорошо нахваливают.

Илья.

>Если я правильно понял по Owl, то можно скачать их патч к
>ядру, и использовать пропатченное ядро, например, в Debian, а не только
>в их Owl-платформе?

Да, это просто патч к ядру.

>А как насчет использования RSBAC? Альтлинукс как-то делал дистрибутив с использованием RSBAC
>- на сайте хорошо нахваливают.

RSBAC с owl патчем не пересекается, т.е. совершенно разные вещи делают.
Если необходимо расширенное управление доступом к ресурсам, можеш использовать и RSBAC.