# Solaris vs. Linux - bezpieczeństwo

## Raku

 *Gabrys wrote:*   

> Spoko, można sobie postawić, co nam gwarantuje, że nie musimy tak często się troszczyć o update'y, bo system jest AFAIK dużo bezpieczniejszy od Linuksa

 

jasne...

ostatnia wpadka Suna z telnetem potwierdza to "bezpieczeństwo"

Solaris będzie względnie bezpieczny pod warunkiem, że korzystacie z dedykowanego pod niego oprogramowania (czyli system z płyty + pakiety z oprogramowaniem z płyty, posiadające support Suna). 

Pamiętać należy, że Sun nie zapewnia wsparcia dla wszystkich pakietów GNU/GPL zawartych na DVD (kiedyś pakiety GNU były na tzw. Companion CD) - przynajmniej do niedawna tak było. Tak więc instalujecie oprogramowanie GNU i modlicie się, czy Sun wyda uaktualnienie do niego w przypadku wykrycia krytycznej luki, czy nie wyda...

No a jeśli chcecie korzystać z oprogramowania GNU nie dołączonego do płyty (lub z nowszych wersji tego co jest na DVD), czeka was samodzielna kompilacja lub korzystanie z wynalazków w stylu blastwave. Uruchomienie serwerów: pocztowego i WWW (postfix + amavis +clamav +spamassassin, apache2 +php5 +mysql4 +postgres) na Solarisie 9 to było dla mnie wyzwanie wymagające zbudowania ok. 150 pakietów (nie chciałem korzystać z blastwave, bo nie ufam takim wynalazkom). Teraz spróbujcie jakoś sensownie tym zarządzać (czyli: śledzić różnego rodzaju listy pod kątem luk w bezpieczeństwie programów, uaktualniać pakiety, pilnować, żeby wszystko ze sobą współgrało, itd.). 

Życzę powodzenia w utrzymaniu bezpiecznego systemu.   :Wink: 

----------

## Gabrys

 *Raku wrote:*   

>  *Gabrys wrote:*   Spoko, można sobie postawić, co nam gwarantuje, że nie musimy tak często się troszczyć o update'y, bo system jest AFAIK dużo bezpieczniejszy od Linuksa 
> 
> jasne...
> 
> ostatnia wpadka Suna z telnetem potwierdza to "bezpieczeństwo"
> ...

 

Są bezpieczne. Do Linuksa codziennie są wynajdywane jakieś błędy bezpieczeństwa. Jeśli codziennie aktualizujesz system, to zgodzę się, że Linux będzie faktycznie bezpieczniejszy, ponieważ czas reakcji na błędy jest mniejszy, natomiast jeśli chodzi o ilość znanych błędów bezpieczeństwa na systemie powiedzmy sprzed miesiąca, to obstawiałbym Solarisa, że ma mniej.

A z tym telnetem, bo była fajna sprawa, całe spotkanie TLUG-a się nabijaliśmy z tego. Ktoś powiedział, że w Linuksowej dystrybucji telneta też była ta luka, ale 5 czy 6 lat temu  :Very Happy: .

----------

## BeteNoire

W ogóle to co to za system, który w domyślnej instalacji uruchamia telnet?   :Laughing:  Nieźle mnie wycięło jak to zobaczyłem.

----------

## Gabrys

Mój o ile pamiętam nie uruchamiał domyślnie telnetu.

----------

## Raku

@Gabrys - nie śledzę rankingów, więc  nie wypowiem się, gdzie jest więcej/mniej wykrytych luk. Weź jednak pod uwagę, że system to nie tylko kernel (bo rozumiem, że porównujemy tu kernele Solarisa i linuksa), ale także dodatkowe oprogramowanie. I zakładając, że korzystasz wyłącznie z oprogramowania Suna, zgadzam się, że będziesz miał system bezpieczny - bo nieważne ile dziur, Sun je połata i wyda swoje patche. Gorzej, jeśli wykorzystujesz Solarisa jako bazy dla całej gamy softu GNU, nie wspieranej przez Suna. Wówczas każda luka w tym sofcie naraża twój system do momentu, aż dowiesz się, że jest zagrożenie, ściągniesz nowsze źródła i je skompilujesz. A to nie jest już bezpieczne.

@BeteNoire - w Solarisie 10 telnet jest domyślnie wyłączony, a po włączeniu domyślnie zabronione jest logowanie się na konto roota. Ale telnet się czasami przydaje - np. na jednym serwerze z Solarisem 9, któraś z łat Suna zepsuła mi ssh, więc musiałem korzystać z telnetu.

----------

## Gabrys

 *Raku wrote:*   

> @Gabrys - nie śledzę rankingów, więc  nie wypowiem się, gdzie jest więcej/mniej wykrytych luk. Weź jednak pod uwagę, że system to nie tylko kernel (bo rozumiem, że porównujemy tu kernele Solarisa i linuksa), ale także dodatkowe oprogramowanie. I zakładając, że korzystasz wyłącznie z oprogramowania Suna, zgadzam się, że będziesz miał system bezpieczny - bo nieważne ile dziur, Sun je połata i wyda swoje patche. Gorzej, jeśli wykorzystujesz Solarisa jako bazy dla całej gamy softu GNU, nie wspieranej przez Suna. Wówczas każda luka w tym sofcie naraża twój system do momentu, aż dowiesz się, że jest zagrożenie, ściągniesz nowsze źródła i je skompilujesz. A to nie jest już bezpieczne.

 

No więc czym to się różni od bezpieczeństwa aplikacji GNU na Linuksie? Jeśli używamy tych samych aplikacji. Nie rozumiem, w czym tak naprawdę dopatrujesz się mniejszego bezpieczeństwa Solarisa.

 *Quote:*   

> @BeteNoire - w Solarisie 10 telnet jest domyślnie wyłączony, a po włączeniu domyślnie zabronione jest logowanie się na konto roota. Ale telnet się czasami przydaje - np. na jednym serwerze z Solarisem 9, któraś z łat Suna zepsuła mi ssh, więc musiałem korzystać z telnetu.

 

logowanie na roota jest zabronione, ale tam chodziło o coś innego, logowanie z użyciem jakiegoś magicznego przełącznika, tak więc być może tego telnet nie blokował, bo luka nie polegała na tym, że mogłem się zalogować jako root na telnet bez hasła, tylko w określonym przypadku wywołania z podaniem jakiejś specjalnej formy nazwy użytkownika, dostawaliśmy od systemu konsolę roota.

----------

## Kurt Steiner

Wszyscy mają Solarisa! Mam i ja!   :Very Happy: 

----------

## Raku

 *Gabrys wrote:*   

> No więc czym to się różni od bezpieczeństwa aplikacji GNU na Linuksie? Jeśli używamy tych samych aplikacji. Nie rozumiem, w czym tak naprawdę dopatrujesz się mniejszego bezpieczeństwa Solarisa.

 

W linuksie nie musisz sam troszczyć się o łatanie programów - od tego masz pakiety oficjalnie zarządzane przez developerów danej dystrybucji. Ktoś za ciebie dba o to, by sprawdzić buglisty pod kątem nowych luk, by połatać program, by uaktualnioną wersję umieścić w repozytorium, żebyś mógł ją zainstalować w twoim systemie. W Solarisie tego nie ma - pakietów GNU jest niewiele, więc musisz o wszystko troszczyć się SAM. Chyba że korzystasz wyłącznie z oprogramowania komercyjnego (czy to bezpośredni od Suna, czy od innego producenta).

 *Quote:*   

> logowanie na roota jest zabronione, ale tam chodziło o coś innego, logowanie z użyciem jakiegoś magicznego przełącznika, tak więc być może tego telnet nie blokował, bo luka nie polegała na tym, że mogłem się zalogować jako root na telnet bez hasła, tylko w określonym przypadku wywołania z podaniem jakiejś specjalnej formy nazwy użytkownika, dostawaliśmy od systemu konsolę roota.

 

bzdury...

http://www.kb.cert.org/vuls/id/881872

Za pomocą magicznego przełącznika mogłeś zalogować się na dowolne, istniejące w systemie konto BEZ KONIECZNOŚCI PODAWANIA HASŁA. Jednym z tych kont mogłoby być konto roota, ale 'by default' w Solarisie 10 nie zalogujesz się na to konto przez telnet (nawet znając hasło).

Sprawdzałem to osobiście - na lukę podatny był wyłącznie Solaris 10. Na 9 i 8 telnet działa poprawnie. Dostępu do konta roota nie uzyskałem, ale na własne konto już owszem.

----------

## Gabrys

 *Raku wrote:*   

>  *Gabrys wrote:*   No więc czym to się różni od bezpieczeństwa aplikacji GNU na Linuksie? Jeśli używamy tych samych aplikacji. Nie rozumiem, w czym tak naprawdę dopatrujesz się mniejszego bezpieczeństwa Solarisa. 
> 
> W linuksie nie musisz sam troszczyć się o łatanie programów - od tego masz pakiety oficjalnie zarządzane przez developerów danej dystrybucji. Ktoś za ciebie dba o to, by sprawdzić buglisty pod kątem nowych luk, by połatać program, by uaktualnioną wersję umieścić w repozytorium, żebyś mógł ją zainstalować w twoim systemie. W Solarisie tego nie ma - pakietów GNU jest niewiele, więc musisz o wszystko troszczyć się SAM. Chyba że korzystasz wyłącznie z oprogramowania komercyjnego (czy to bezpośredni od Suna, czy od innego producenta).

 

No dobra, ale nie od tego jest Solaris, żeby udostępniał pakiety GNU. Od tego są (i niedługo dojrzeją) dystrybucje GNU/Solaris.

----------

## Raku

 *Gabrys wrote:*   

> No dobra, ale nie od tego jest Solaris, żeby udostępniał pakiety GNU. Od tego są (i niedługo dojrzeją) dystrybucje GNU/Solaris.

 

ale przeczytaj, co ja pisałem na samym początku!!!!   :Rolling Eyes: 

Solaris bez GNU = jako takie bezpieczeństwo (Sun supportuje własny software, co do liczby błędów się nie wypowiadam - liczba ściąganych patchy może być tu punktem odniesienia)

Solaris + GNU = dużo problemów z samodzielną instalacją, aktualizacją oraz wyszukiwaniem luk w bezpieczeństwie pakietów GNU.

A jeśli chodzi o zasadność wykorzystywania GNU w Solarisie - o ile mi dobrze wiadomo, nie ma w nim wsparcia dla PHP, więc jeśli chcesz mieć na serwerze coś innego niż jsp, musisz zaprzyjaźnić się z kompilatorem.

Jeśli nie lubisz sendmaila jako MTA, wróć do wniosków z poprzedniego zdania.

Szukasz rozwiązania antywirusowego/antyspamowego do MTA? Solaris ma chyba Messengera (cały system pocztowy), więc albo korzystasz z niego, albo z innych komercyjnych rozwiązań firm trzecich (licząc na support w postaci automatycznych aktualizacji z ich strony), albo używasz GNU (które zapewne znasz najlepiej, ale musisz sam kompilować).

Co do GNU/Solaris - z ciekawością przyglądam się pomysłowi połączenia Debiana z Solarisem (kernel OpenSolarisa, system pakietów Debiana). Chętnie to przetestuję, jak tylko projekt będzie bardziej dojrzały.

PS - jak dyskusja na temat bezpieczeństwa będzie się rozwijać, wydzielę ją do osobnego wątku - bo trochę włazimy tu z buciorami w temat o płytach CD  :Smile: 

----------

## Gabrys

 *Raku wrote:*   

> Solaris bez GNU = jako takie bezpieczeństwo (Sun supportuje własny software, co do liczby błędów się nie wypowiadam - liczba ściąganych patchy może być tu punktem odniesienia)

 I z tym się nie zgodzę. Wg mnie bezpieczeństwo jest bardzo wysokie, a nie jako-takie.

----------

## Raku

 *Gabrys wrote:*   

> I z tym się nie zgodzę. Wg mnie bezpieczeństwo jest bardzo wysokie, a nie jako-takie.

 

http://secunia.com/product/4813/?task=statistics

http://secunia.com/product/5307/?task=statistics

I teraz wszystko zależy od interpretacji rezultatów:

interpretacja 1) Solaris jest bezpieczniejszy, bo miał mniej luk (100 do 512 Debiana), poziomy zagrożeń wypadają lepiej dla Solarisa (mniej luk krytycznych, itp)

interpretacja 2) Debian  jest bezpieczniejszy, bo zawiera jedynie 3 niezałatane dziury w porównaniu do 11 Solarisa, dodatkowo ocena poziomu zagrożenia najgorszej niepołatanej dziury w Debianie jest niska, w Solarisie dość wysoka, w rozwiązaniach Debianowych nie występują "workaroundy", jak to ma miejsce w przypadku Solarisa

interpretacja 3) Debian jest bardziej bezpieczny, bo liczba błędów jest co prawda większa, ale Debian dysponuje znacznie większą liczbą pakietów z oprogramowaniem (więcej prawdopodobnych luk) oraz jest bardziej popularny (być może strzelam sobie tym ostatnim stwierdzeniem w stopę, ale zaryzykuję  :Wink: )

Nie chce mi się szukać, czego dotyczą niepołatane dziury, bo realny poziom zagrożenia, jaki powodują to też rzecz do interpretacji.

Nie chcę na poważnie oceniać poziomu bezpieczeństwa Solarisa i porównywać go do linuksa (brak mi trochę kompetencji do tego i jedyne co mogę zrobić, to wyrazić swoją subiektywną opinię), ale nie ufałbym tak ślepo inżynierom Suna - zwłaszcza, że zdarza się im mnóstwo wpadek z wydawaniem swoich łat. Aktualizacja moich Solarisów to często modlitwa, czy serwer wstanie po restarcie* i czy wszystkie usługi będą nadal działać**, ba - czy łata da się w ogóle zainstalować***. A to nie powinno się chyba zdarzać w systemie tej klasy.

* - strach wywołany występowaniem ** i ***. 

** - w S9 po którymś updacie padło mi ssh. Nowy daemon nie mógł się uruchomić, bo był zlinkowany z dodatkowymi bibliotekami, których nie miałem w systemie. Nowa łata zainstalowała taką binarkę, ale nie zatroszczyła się o to, by sprawdzić, czy mam doinstalowane zależności i poinformować mnie o konieczności ich uzupełnienia (bo o tym, że Solaris sam zainstaluje brakujące zależności to można jedynie pomarzyć). Po restarcie serwera czekała mnie wycieczka do oddalonego o ok. kilometr węzła.

*** - miałem tak z uaktualnieniem kernela dla S10 pod x86_64. Trzeba było ręcznie rozpakowywać łatę, poprawiać trochę kodu w skrypcie instalacyjnym i dopiero wtedy łata się instalowała. I tak przez kilka kolejnych updatów, mimo że problem był znany inżynierom Suna.

----------

## Gabrys

Raku specjalnie przeniósł (wydzielił) temat, żebym nie dostał informacji, że odpowiedział na mojego posta. Ale z nudów zajrzałem jednak sam na forum.

Temat jest dość dziwny w sumie, bo, żeby coś oceniać, trzeba się trochę na tym znać. Nie mam dużej styczności z administracją Solarisem, a z Linuksem mam na co dzień, więc też np. łatwiej mi jest rozwiązywać jakieś problemy, ale niektórzy na Linuksie też sobie nie radzą z aktualizacją czegoś tam i się modlą, żeby tylko się im X czy Y skompilowało. No ja np. (mimo, że stykam się z Linuksem od lat) nie mogę sobie poradzić z kompilacją vorbis-tools i gxine, bo sypie błędami.

Żeby nie przesadzać, wydaje mi się, że oczywiście bezpieczeństwo zależy od wyboru celu serwera i uruchomionych aplikacji i ciężko średnio przeważyć na którąś stronę. W każdym razie, nie bałbym się postawić serwera tej czy innej usługi na Solku (zresztą na Linuksie czy FreeBSD też). A na innych systemach rodem z USA już bym się mocno wahał.

----------

## vermaden

 *Raku wrote:*   

> No a jeśli chcecie korzystać z oprogramowania GNU nie dołączonego do płyty (lub z nowszych wersji tego co jest na DVD), czeka was samodzielna kompilacja lub korzystanie z wynalazków w stylu blastwave.

 

Mozesz sobie smialo postawic tam pkgsrc.org, system portow, ponad 6400 portow, czyli calkiem sporo, lacznie z Gnome, KDE itd itd, do obslugiwanych systemow naleza:

```
NetBSD

Solaris

Linux

Darwin (Mac OS X)

FreeBSD

OpenBSD

IRIX

BSD/OS

AIX

Interix (Microsoft Windows Services for Unix)

DragonFlyBSD

OSF/1
```

wiecej onfo tutaj:

http://www.netbsd.org/Documentation/pkgsrc/introduction.html#introduction-section

----------

## Raku

 *vermaden wrote:*   

> Mozesz sobie smialo postawic tam pkgsrc.org, system portow,

 

ja już z tego korzystałem   :Cool: 

Resztki pakietów znajdują się jeszcze pod pkgsrc.prz.edu.pl

Krok naprzód, ale okres zabawy z portami pod S10 to był okres, kiedy przychodziłem do pracy i przez cały dzień kompilowałem - i tak przez kilka tygodni non stop.

Problemów było mnóstwo - a to libtool przestał działać (znany błąd z segmentującym się libtoolem korzystającym z solarisowego ksh), a to zaczął (bo zmieniłem powłokę, z którą miał współpracować), ale wykrzaczał się wyłącznie przy kompilacji glib2, a to znów coś innego nie chciało się skompilować, a to coś nie działało z kompilatorem z Sun Studio, a to coś nie działało z gcc (więc trzeba było zamieniać kompilatory), a to po tygodniu kompilacji okazało się, że nie postawię serwera 64-bitowego, bo nie dam rady go skompilować, więc musiałem przebudowywać wszystko pod 32 bity. A gdy w końcu miałem gotowy niezbędny mi zestaw pakietów z 2005Q4, okazało się, że muszę wszystko przebudować, bo nową stabilną gałęzią jest już 2006Q1.

Podziękowałem. Muszę przyznać, że to był ciekawy etap moich bojów z GNU w Solarisie, ale dałem sobie jednak spokój.

----------

## vermaden

 *Quote:*   

> W każdym razie, nie bałbym się postawić serwera tej czy innej usługi na Solku (zresztą na Linuksie czy FreeBSD też). A na innych systemach rodem z USA już bym się mocno wahał.

 

Rozumiem ze OpenBSD tez bys sie nie bal  :Wink: 

 *Quote:*   

> Podziękowałem. Muszę przyznać, że to był ciekawy etap moich bojów z GNU w Solarisie, ale dałem sobie jednak spokój.

 

To chyba faktycznie pozostaje czekac na ta mieszanke Solarisa I Debiana.

----------

## martin.k

 *Raku wrote:*   

> Uruchomienie serwerów: pocztowego i WWW (postfix + amavis +clamav +spamassassin, apache2 +php5 +mysql4 +postgres) na Solarisie 9 to było dla mnie wyzwanie wymagające zbudowania ok. 150 pakietów (nie chciałem korzystać z blastwave, bo nie ufam takim wynalazkom). 

 

Wiem coś o tym... 

Ostatnio rzeźbiłem podobną konfigurację (php-5.2.1 + apache + mysql5) na potrzeby CRM-a na Sankach E450 - czteroprockowy klocek na UltraSmarkach(tm)... 

Zanim postawiłem go na nogi pod Solarisem 9 - to se łapki po łokcie utytrałem...  :Smile: 

Menadżer pakietów pod Sol9, to nie bajka niestety  :Smile: 

W pierwszej chwili pomyślałem... A może by tak Gentoo   :Question: 

No ale perspektywa następnej rzeźby ze zmuszeniem do współpracy StorEdga A1000 przechyliła czarę goryczy   :Shocked:   :Very Happy: 

----------

