Blog:Je linux opravdu bezpečnejší?

[ukomir]

http://rover623.blog.zive.cz/2011/03/je-linux-opravdu-bezpecnejsi-nez-windows/

[bisik]

Nápadně podobné systémy 
Jen tak někde v skrytu duše čekám kdy se provalí, kterou distribuci, popř. něco podobného Microsoft předělal podle svého. Podle mne Microsoft nemohl být schopen během tak krátké doby vyprodukovat pro ně funkčí systém (win7) a to s tolika funkčními vlastnostmi (příkazová řádka,...) podobnými funkcím, které do té doby byli jen na Linuxu.

Win7 = Linux s win prostředím

[pomec]

Win7 = Linux s win prostředím

Hlúposť...

[Vojtěch Trefný]

"Ani sebelepší systém vás neochrání, pokud jste “klikač” instalující naprosto cokoli co najde na internetu."

→ Stará známá pravda. Největší bezp. díra je uživatele. Když si nainstaluju kdejaký "exáč", co najdu na netu, tak se není čemu divit. Linux je na tom trochu lépe, protože se snaží uživatele trochu "vychovat" k používání (bezpečných) repozitářů, ale jak se bude rozšířovat, určitě se najde spousta "chytrolínů", kteří budou vyvěšovat prapodivná "sháčka"...

[bisik]

Win7 = Linux s win prostředím

Hlúposť...

Já vím, že je to hloupost, ale hláška je to zajímavá (převzatá) 

[jAster_BA]

Nápadně podobné systémy 
Jen tak někde v skrytu duše čekám kdy se provalí, kterou distribuci, popř. něco podobného Microsoft předělal podle svého. Podle mne Microsoft nemohl být schopen během tak krátké doby vyprodukovat pro ně funkčí systém (win7) a to s tolika funkčními vlastnostmi (příkazová řádka,...) podobnými funkcím, které do té doby byli jen na Linuxu.

Win7 = Linux s win prostředím

Ja som to tušil...
Ale tiež mi to príde ako nonsense...aj keď aj na HTC som teraz nonsense...je to bída. Sense je premakaný.

[Rover623]

No,nečekal jsem,že se to dostane až sem.Ten blog je moje práce (taková oddychovka).Napsal jsem tenhle článek poté co jsem odvirovával několik počítačů s Windows,kde si uživatelé natáhli nákazu vlastním přičiněním,prostě jim prohlížeč nabídl update čehosi a oni to prostě nainstalovali.

Windows 7 mají pouze mírně opravené jádro z Windows Vista,ale pořád je to ten samý nestabilní a neefektivní hybridní kernel,kde blbě napsaná aplikace dokáže odrovnat celý systém.Že u nového Windows Shellu,MS opisoval od toho co je na Linuxu,o tom asi pochybuje málokdo,ale pořád platí,že u Linuxu je bash integrální součástí jádra,Windows Shell toho umí minimum (vložených příkazů je dokonce méně než v DOSu),ten zbytek jsou nalepené aplikace,které klidně mohou být klikací,v praxi to asi vypadá tak,že jádro Windows je vybudováno tak chytře,že bez externích programů a vůbec celého GUI (které obsahuje další sadu instrukcí) ten kernel neumí skoro nic

[jmp]

ehmm - ani na linuxu bash _neni_ integralni soucasti jadra (stejne jako neni soucasti jadra cmd.exe nebo explorer.exe u windows)

to jsou proste shelly

u dosu byl shell obhospodarovan take mimo jadro pomoci command.com
na unixu byl shell take jiz od pocatku mimo jadro

[Rover623]

Asi jsem se blbě vyjádřil,jde o to kolik umí jádro vykonat příkazů interně,bez volání nějakého externího modulu

[GdH]

Asi jsem se blbě vyjádřil,jde o to kolik umí jádro vykonat příkazů interně,bez volání nějakého externího modulu

Mám za to, že si pleteš jádro s shellem. Jádro žádné příkazy, které píšeš do terminálu, přímo nevykonává. Vykonává je shell, který máš nainstalovaný a který použiješ. Každý shell má pak vlastní vestavěné funkce a příkazy, a umí spouštět externí programy.

[Kedrigern]

Nicmene existuje homomorfismus mezi rutinami POSIXu a SHELLem.

[jmp]

no, jde o to, ze ucelem jadra nejak neni zprostredkovani VV rozhrani pro cloveka, ale hlavne obslouzit HW a zprostredkovat rozhrani pro jeho vyuzivani

VV rozhrani pro cloveka ma nastarosti shell

v unixech (bez Xek) se shell spousti az po prihlaseni uzivatele a je to ten shell, ktery ma uzivatel definovany, takze myslim muze nastat situace, ze pocitac bezi, jadro bezi, ale nikdo neni prihlasen a zadny shell nebezi
ono to vlastne bude u grafickeho prihlasovani asi obdobne jako u terminaloveho v tom smeru, ze napr. gdm bude cekat na prihlaseni stejne jako getty a pak nasledne spusti vse potrebne

[Kedrigern]

no, jde o to, ze ucelem jadra nejak neni zprostredkovani VV rozhrani pro cloveka, ale hlavne obslouzit HW a zprostredkovat rozhrani pro jeho vyuzivani

VV rozhrani pro cloveka ma nastarosti shell

v unixech (bez Xek) se shell spousti az po prihlaseni uzivatele a je to ten shell, ktery ma uzivatel definovany, takze myslim muze nastat situace, ze pocitac bezi, jadro bezi, ale nikdo neni prihlasen a zadny shell nebezi
ono to vlastne bude u grafickeho prihlasovani asi obdobne jako u terminaloveho v tom smeru, ze napr. gdm bude cekat na prihlaseni stejne jako getty a pak nasledne spusti vse potrebne

Má to jen jeden detail. Root má také svůj shell, čili jakmile naběhne provozuschopný systém (včetně roota), tak je shell spuštěn. Init skripty jsou také dash. Proto je dobré hlídat si, co má root nastaveno jako default shell (a spousta mých známých by mi za bash přerazila packy :-D ).

Nezapomínejte, že UNIXy jsou z návrhy multiuživatelské.

[Martin Šácha]

no, jde o to, ze ucelem jadra nejak neni zprostredkovani VV rozhrani pro cloveka, ale hlavne obslouzit HW a zprostredkovat rozhrani pro jeho vyuzivani

VV rozhrani pro cloveka ma nastarosti shell

v unixech (bez Xek) se shell spousti az po prihlaseni uzivatele a je to ten shell, ktery ma uzivatel definovany, takze myslim muze nastat situace, ze pocitac bezi, jadro bezi, ale nikdo neni prihlasen a zadny shell nebezi
ono to vlastne bude u grafickeho prihlasovani asi obdobne jako u terminaloveho v tom smeru, ze napr. gdm bude cekat na prihlaseni stejne jako getty a pak nasledne spusti vse potrebne

Má to jen jeden detail. Root má také svůj shell, čili jakmile naběhne provozuschopný systém (včetně roota), tak je shell spuštěn. Init skripty jsou také dash. Proto je dobré hlídat si, co má root nastaveno jako default shell (a spousta mých známých by mi za bash přerazila packy :-D ).

Nezapomínejte, že UNIXy jsou z návrhy multiuživatelské.

Ale dokud se root nezaloguje, tak jeho shell spuštěn není. V login screenu přece nemáš root oprávnění (nebo ano?!).

[Kedrigern]

sachy: Ano, dokud se za roota nezaloguješ, tak se nespustí ten defaultní shell. Nicméně již předtím se pod ním spustí init věci (asi se spíš budou spouštět pod efektivním ID či co... takhle dopodrobna tomu zatím nerozumím)... a v single-user modu (s tím mám zkušenosti jen z BSD) máš taky zapnutý nějaký shell...

Jde mi o to, že těžko postavíš i ten nejořezanější unixový systém bez shellu se všemi jeho výhodami.

[Martin Šácha]

sachy: Ano, dokud se za roota nezaloguješ, tak se nespustí ten defaultní shell. Nicméně již předtím se pod ním spustí init věci (asi se spíš budou spouštět pod efektivním ID či co... takhle dopodrobna tomu zatím nerozumím)... a v single-user modu (s tím mám zkušenosti jen z BSD) máš taky zapnutý nějaký shell...

Jde mi o to, že těžko postavíš i ten nejořezanější unixový systém bez shellu se všemi jeho výhodami.

Default shell je ten stejný jako po přepnutí ctrl+alt+F3?

Respektive, dá se do něho nějak dostat za běhu systému?

[jmp]

zpet k problemu - chtel jsem potlacit (podle meho chybne) tvrzeni, ze bash je integralni soucasti jadra (obecne to plati pro vsechny shelly, ze nejsou soucasti jadra)

mno - pokud zmenim uhel pohledu, tak i to ze bash bezi jako separatni proces (ci vetsi pocet procesu) jasne ukazuje na to, ze bash _neni_ integralni soucasti jadra

jen na okraj
 - ubuntu uz nepouziva klasicky init, ale upstart
 - domnivam se, ze me tvrzeni "..., takze myslim muze nastat situace, ze pocitac bezi, jadro bezi, ale nikdo neni prihlasen a zadny shell nebezi" stale plati
 - domnivam se, ze skripty initu (ci upstartu, ale treba i cronu) skutecne vykonavaji prikazy v ramci neinteraktivne spusteneho shellu, ale tento shell skonci po skonceni skriptu
 - to, ze unixy jsou viceuzivatelske a nejaky ten shell je potreba nepopiram, ale take to nema zadnou primou souvislost s onim chybnym tvrzenim, ze bash je integralni soucasti jadra

[Kedrigern]

sachy: Já měl na mysli default shell uvedený v /etc/passwd , ten se spouští vždy po zalogování. Na terminálech je jen logování, což jsou čisté shellovské věci, které se forknou do shellu nastaveného pro daného uživatele (po přihlášení).

jmp: Ano, shell není integrální součástí jádra. Nicméně rozšiřoval jsem toto tvrzení o to, že se bez něj i minimalistický systém neobejde. A jakmile už jednou nějaký je, tak nese celou ohromnou moc shellu + filosofie souborů (třeba /dev), což je samo o sobě strašlivě silné.

Shell je separátní proces, neb je třeba neuvěřitelné množství jeho instancí. Jak jsem řekl nejedná se o součást jádra, ale přirozenou bránu mezi jádrem a světem. Zajišťuje jak ochranu (proto separátní procesy, různé druhy shellu etc.), tak přístup (rozhraní). Samotný shell dle snad všech norem kopíruje normu POSIXu a prostě shellovsky obaluje Céčkovské funkce z POSIXu - což ho velmi úzce svazuje s jádrem.

Jinak procesy mají vlastníka (bez výjimky, včetně pid 1) a u těch kernelovských (init) je tím vlastníkem root. Čili to nebude tak jednoduché. Asi bys mohl spustit něco, co bys okousal o jakýkoliv shell, ale nic by to nepřineslo.

Bash sem vůbec netahej, ten opravdu s jádrem nemá nic společného .

Jinak init jsem myslel proces 1, který tedy v Narvalovy mám. A jedná se o běžící jádro. V Linuxu prý jde zabít tento proces a hodí ti to normální kernel panic , nezkoušel jsem to. Mimochodem v BSD to nejde (zkoušel jsem).

Ale tato diskuse je bezpředmětná, pokud se zde neobjeví někdo, kdo se v jádru vyzná, neb se jen díváme na zkreslený odraz a zkoumáme původce.

[jmp]

vsak ano - ja jen chtel, aby nekdo nevzal « Odpověď #6 kdy: 2011-03-31, 20:16:52 » a « Odpověď #8 kdy: 2011-03-31, 21:18:02 » za bernou minci, protoze by s tim mohl mit v budoucnu ponekud problem...