Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | Mas dão a opção de poder usar o kernel original ou é mesmo só este? É que senão, valha-nos Deus! Sinceramente não usaria um kernel da NSA, nem por dinheiro. Too risky... E acho que se não derem a opção de escolha, vai haver muita gente que se vai afastar do Fedora por essa razão... |
| |
|
| | Mas dão a opção de poder usar o kernel original ou é mesmo só este? É mesmo só este, até porque o SELinux faz parte do kernel 2.6, portanto qualquer kernel original tráz também o SELinux. Mas o SELinux pode ser desligado para quem não necessitar da funcionalidade extra e não quiser sofrer uma penalização de performance (uns 4-5% segundo se diz). Isto pode ser feito no boot ou desactivado pelos scripts de inicialização (fica como se estivesse desligado mas permite mais tarde activá-lo sem ter de andar a fazer malabarismos com o filesystem, esta é a opção recomendada).
-- Carlos Rodrigues |
| |
| | Sim, mas a Mandrake por exemplo, borrifou-se nisso e traz um kernel "normal" no 10.0 CE. Será por a Mandrake ser europeia :P ?
Mário Gamito www.startux.org |
| |
| | Provavelmente é por não quererem ter o trabalho de fazer as modificações necessárias ao resto do sistema. Como de costume vão esperar que a Red Hat desbaste o caminho para depois eles seguirem as suas pisadas. Além disso, um kernel "normal" é apenas um kernel que não foi compilado com o SELinux activo pois, tal como eu disse, o SELinux faz parte do kernel do Linus desde a versão 2.6.0pre3.
-- Carlos Rodrigues |
| |
|
| | Quanto ao resto, olhe que não, olhe que não: outra distribuidora europeia que se prepara para lançar o 2.6.3 sem SE. Tal como eu disse, porque não querem fazer modificações no resto da distribuição (pelo menos para já), e não por um qualquer medo da NSA (se fosse por isso também tinham de evitar os algoritmos de cifra mais usados, todos eles aprovados pela NSA).
-- Carlos Rodrigues |
| |
|
| | Não usarias um kernel da NSA porquê?? Tás com medo dos backdoors da NSA, ou achas que é segurança a mais??
------------------------------------------------------------ Todas as coisas mudam, e nós mudamos com elas. |
| |
| | Simplesmente acho que com tudo que se passa neste momento no mundo, como por exemplo a espionagem comercial feita pelos Estados Unidos, usar um kernel da NSA será demasiado óbvio. Não quero que o MOTD do meu minal passe a ser: "Entrem, entrem, estejam à vontade!" |
| |
| | Vamos lá ver se nos entendemos. O SELinux foi incluído no kernel 2.6.0pre3 do Linus, portanto já foi revisto por uma data de gente, além do mais é apenas um esquema de gestão de acessos, o mais que podia ter eram backdoors, ou bugs... mas tal como eu digo, já foi revisto por uma data de gente, e a source está à vista para outros que também o queiram fazer. Portanto não é por ter sido originado na NSA que o torna assim ou assado. Pior são os esquemas de cifra aprovados pela NSA, tal como o DES e o DES-EDE (3-DES) sobre os quais sempre correu o boato de que no meio daquelas S-boxes e P-boxes existiam backdoors que só a NSA sabia, no entanto decerto que os usas todos os dias...
-- Carlos Rodrigues |
| |
| | O que é verdade é que apesar dessa conversa toda, nunca ninguém achou uma backdoor no DES, e já lá vão bastantes anos. De qq modo, isto é bem diferente do DES. Eu sei, eu sei, a conversa do "Eu temo os Gregos mesmo quando trazem presentes" também apela ao meu sentido de auto-preserverança, mas, isto não é um cavalo que madeira closed-source em que o código que despolecta a acção do dispositivo pode estar escondido na barriga do cavalo. :-D |
| |
| | "e os quais sempre correu o boato de que no meio daquelas S-boxes e P-boxes"
e o boato foi reforçado porque as matrizes originais eram diferentes ... qd a cifra regressou da NSA (para aprovação) os números estavam alterados e nunca ninguém soube dar uma explicação plausível para isso ...
por outro lado em 20 anos de investigação nada foi descoberto (ou divulgado, pelo menos ...)
Cumps |
| |
| | e o boato foi reforçado porque as matrizes originais eram diferentes ... qd a cifra regressou da NSA (para aprovação) os números estavam alterados e nunca ninguém soube dar uma explicação plausível para isso ... por outro lado em 20 anos de investigação nada foi descoberto (ou divulgado, pelo menos ...)
Na realidade, no "Applied Cryptography", o Bruce Scheneier explica que provavelmente as S-Boxes foram alteradas pela NSA não para enfraquecer a cifra, mas sim para a tornar mais resistente a uma técnica de criptanálise (differential cryptanalysis) que nessa altura ainda não era conhecida fora da NSA, mas que a NSA provavelmente já conhecia (e é claro que a NSA não iria divulgar isso). A verdade é que as S-Boxes alteradas são aparentemente mais resistentes a essa técnica que as originais (independentemente de poderem ou não serem crackadas pela NSA).
Cumps, JB .. acusaram-O de pirataria, por ter duplicado uma cesta de pão e cinco peixes, e disseram: crucifiquem-No .. (Biblia do Século XXI) |
| |
| | sim, já li essa parte do livro (aliás muito bom)
certas partes até sugerem que que a modificação por parte da NSA foi uma maneira de se certificarem que a IBM não as tinha "forjado" as boxes (!) ... hen hen hen
Cumps |
| |
| | A SUSE 9.1 tambem tem/vai ter SELinux. E para quem perguntou.. Sim, pode ser desactivado com append " selinux=0" no lilo.conf Tou a usar o kernel de testes SUSE 9.1 / 2.6.4 killbill:/home/andyrock/Software/wxGTK-2.4.1 # dmesg | grep selinux Kernel command line: auto BOOT_IMAGE=Linux root=307 splash=silent selinux=0 showopts acpi=on killbill:/home/andyrock/Software/wxGTK-2.4.1 # dmesg | grep SELinux SELinux: Disabled at boot. killbill:/home/andyrock/Software/wxGTK-2.4.1 # |
| |
| | Acho que a partir do momento em que podes ver o source code, não haverá razões para preocupar na utilização do SELinux. Qualquer pessoa pode ver qualquer tentativa de espionagem. ----- Só há 10 tipos de pessoas no mundo: os que sabem binário e os que não sabem. |
| |
|
| | E quem te garante que os RPMS do código correspondem aos RPMs binários ?
Mário Gamito www.startux.org |
| |
| | tás a ficar paranoico :) recomendo pastilhas de rpmbuild para esses casos e depois uma colher de md5sum antes do jantar :P |
| |
| | I knew that, thanks for remembering it to me :-)
Mário Gamito www.startux.org |
| |
| | O bom do S.L. è que podemos ver o còdigo, daí estarmos mais seguros que com S.Comercial que, deixem-me refrescar a memoria a quem já não se recorda, è tão obscuro que o governo chinês se decidiu a criar uma distro própria de linux com receio de as varias versões do windows trazerem backdoors intencionais, ou não. Pessoalmente já usei o patch do SELinux anteriormente com kernels 2.4.x e achei uma excelente ideia para implementar políticas de segurança, uma vez que até permite eliminar o root user caso se deseje, plo que não fiquei surpreendido quando o Linus Torvalds se decidiu a implementar este patch no 2.6 (2.5 na altura). Só não o tenho activo neste momento em casa porque a ùnica maneira de aceder ao meu desktop è por acesso fìsico, e como a ataques fìsicos até o SELinux è vulneravel não se justifica a perda de performance, mas recomendo-o a qualquer um que tenha um posto Linux num ambiente de rede, leia-se ligado à internet. Abraços a todos. ------- Ainda não existe segurança no mundo da informática porque ainda não se inventaram pc's que trabalhem sem gente. |
| |
|
|
| | ja agora, porque nao o RSBAC. Para mim é sem duvida o melhor security-patch do Linux.
Microsoft Windows: A 32bit extension and graphical shell to a 16bit patch to an 8bit operating system originally coded for a 4bit microprocessor |
| |