> Ну, расскажите тогда в какой системе таких дыреней нет и быть не
> может. Ну, наверное в MINIX какомнить, да? Там нет usb -
> нет и дыр в нем. Вариант. Для тех кому usb не
> нужен. Ну так это... можно и из линуха модули юсб вынести
> и запретить загрузку модулей на ходу. Хаксор обломается ничуть не меньше:) Слишком много если.
> Да, процесс слепки - очевиден чтописец. Надо всего-то спаять собственную девайсину, прошить
> в нее собственную фирмвару, спасибо если не скурив еще половину немеряного
> талмуда спеков юсб, и вот тогда... тогда вы сможете при физическом
> доступе заюзать дырку. Которую заткнули в феврале, да :). Есть такое
> подозрение что пока вы сподобитесь - приедет апдейт, и... :)
все сказанное выше отменяет дырень? И таки да, ковырял я юсб девайсины и дрова под них писал, ничего там страшного нет, если есть платка на атмеге, то вообще все собирается за пару часов. у нас 4-х моторный квадролёт пацаны из китайского танка за выходные собрали, со всеми сборками ядер, прошивками.. ничо там сложного с usb нету.
> А есть уверенность что в остальных системах похожих ляпов нет? На самом
> деле проблема тут в том что современное железо - сложное. Вы
> вообще спеки USB видели? Это такой крутейший талмуд. Вы верите в
> возможность его реализации без багов? :)
в OpenBSD ляпов секурного плана горааааздо меньше, что-то я не припоминаю, чтоб еженедельно проблемы безопасности находили в опёнке.
> Ну, отписался. А ты какую систему как образец секурности предлагаешь? OpenBSD? В
> которой нет поддержки уймы железа и с многопроцессорностью проблемы? Minix который
> вообще нифига не умеет? Или чего? Из реалистичных вариантов?
ну та поддержка которая есть в openbsd меня устраивает, железо работает, рэйды поддерживаются, извините юсб-саундкарты я в сервера не втыкаю, ибо на хэ не надо. Да и вообще я не уверен что ты смог бы поставить и настроить опёнка, на одном из этапов наверняка бы сломался, оплевался и поставил гламурный линукс
> Ну так дыры там запатчат быстрее чем вы успеете спаять и запрограмить
> железку для поимения, имхо. А потом как-бы уже и поздно :).
> Кстати, при физическом доступе к машине когда я могу кастомный девайс
> в юсб впихнуть - я могу и загрузиться с своей флехи,
> вероятно. После чего я получу полные права в совершенно любой системе
> :)
перезагрузка сервера сразу вызовет тревогу в нормальном датацентре, мониторинг сейчас даже самые ленивые луноходы ставят. Ну и кстате на пошифрованных разделах перезагрузка с usb не особо поможет. Да таковых мало, но если брать mission critical типа банков, то там во первых стоят hp-ux по 64 камня, а во вторых ты его и перегрузить не сможешь, ибо даже не знаешь как :)
> Ну тут некий товарисч paxuser или как там его правильно помнится крепко
> наподдал и FreeBSD в этом плане. А остальные как-то и не
ля-ля не надо, всегда когда приезжает апдейт все чотко написано вплоть до diff, кто-то чота там рассказывал... мне про линукс тоже всякую муйню рассказывают, это же не отменяет свою голову на плечах.
> развиваются почти. Не, можно юзать minix какойнить. Если он конечно у
> вас вообще загрузиться сможет на реальном железе, а не где-то у
> академиков в виртуалочке. А юсб девайсы... нет фичи - нет проблем?
> Ну с таким подходом и линуховое ядро - типа секурно: выносите
> все лишние подсистемы, запрещаете загрузку модулей. Враг не пройдет :).
У FreeBSD как и у OpenBSD проблемы с драйверами это протухшая новость 2003 года. Еще раз, на тачке с которой я пишу стоит FreeBSD, все железо работает. 2х интерфейсные интеловые igb, видяха от nvidia, звучки аж две набортная, и кривотивная, всякие проводочки аля usb -> serial, всякие usb -> ethrnet погремушки, wi-fi пашет опятьже... все пашет из коробки, без траха с ядрами. Так что опять мимо... А вот линуксовое ядро в том то и дело "типа секурно". Все делают вид что линукс не пробиваем, но сравнивают почему-то всегда с вендой, да на уровне венды действитльно там сказка, хотябы вирусов нет, но сравнивая с OpenBSD, это просто слёзы..
