[Ayuda] Fire Wall (fwd)
Gunnar Wolf
gwolf en campus.iztacala.unam.mx
Lun Ene 21 21:08:07 CST 2002
> >Por otro lado la auditor'ia de OpenBSD se da en tres niveles:
> >1 -> Nivel del n'ucleo
>
> Que es precisamente la única parte diferente entre los BSDs y
> Linux. Entre los BSDs se pasan los cambios. En Linux no ha habido
> problemas de seguridad en el kernel desde hace mucho.
Ummm... Me parece que de la serie 2.4, todo kernel inferior a 2.4.12 tenia
un agujero de root remoto. 2.2.19 (aun mantenido, de hecho salio como
reaccion a esto el 2.2.20) tenia el mismo problema. Esto lo encuentro
comentado el 25 de octubre (http://lwn.net/2001/1025/security.php3), hace
poco menos de tres meses. Lo tienes publicado en O'Reillynet hace
exactamente tres meses
(http://linux.oreillynet.com/pub/a/linux/2001/10/22/insecurities.html).
Y, como sea, en estos tres meses ha habido ya cinco releases de kernel -
Algunos de ellos nefastos (2.2.15 - un bug en umount causaba que al
desmontar un sistema de archivos habia una gran probabilidad de perdeer el
sistema de archivos completo). La estabilidad de 2.4.x? Tremenda... El
tener que reemplazar por completo al manejador de VM entre 2.4.9 y 2.4.10
habla muy mal del analisis que 2.4 tuvo que llevar... Pese a tener tanto
tiempo en 2.4pre0-x...
Yo estoy muy contento con Linux, y lo uso en casi todas mis maquinas.
Desafortunadamente, no puedo mas que reconocer que os OpenBSDeros tienen
razon - Linux ha retrocedido fuertemente en confiabilidad desde 2.2.
> >2 -> User land aplications
>
> Cuando se encuentra una falla en alguno de estos sistemas, sin
> importar en qué sistema operativo, la información (y en algunos casos
> los parches, si coincide que ambos, Linux y *BSD usen la misma
> aplicación) se propagan a los demás.
Si. La gran ventaja de OpenBSD (y los demas BSDs) es que tienen un sistema
base, un sistema central que es un Unix completo, no compuesto de
paquetes, y que es una unidad por si sola, por mas que parte de esta sea
adoptada de paquetes externos (p.e. Apache, Sendmail). Y lo que hace el
equipo de OpenBSD es buscar posibles vulnerabilidades *parecidas* a
cualqueira que sea localizada en todos los componentes del sistema. En
sistemas mas tipo bazar, como cualquier distribucion de Linux, tienes que
confiar en que el mantenedor de cada paquete hara la revision
correspondiente.
> >3 -> Ports (De los cuales el coreteam no garantiza que sean seguros)
>
> Igual que el anterior.
En efecto, usar ports es (casi) lo mismo que usar paquetes en Linux. Sin
embargo, en mis servidores OpenBSD tengo menos de 10 ports (en un servidor
de web/coreo) y cero (en un firewall).
> El argumento tendría validéz si no existiese ningún tipo de
> comunicación entre los desarrolladores, pero no es el caso.
Cada proyecto tiene sus prioridades. Puede que un bug no critico sea
dejado de lado en un proyecto determinado para destinar mas recursos a
nuevas caracteristicas, y llegado su momento darle a este bug. En OpenBSD
la prioridad es corregir bugs y *despues de esto* a&adir funcionalidad.
Saludos,
--
Gunnar Wolf - gwolf en campus.iztacala.unam.mx - (+52-55)5623-1118
+---
|PARTICIPA EN EL CONSOL - Congreso Nacional de Software Libre,
|http://www.consol.org.mx, Ciudad de México, 12-15 feb 2002
+--
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Más información sobre la lista de distribución Ayuda