Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 162
Господа, он все ближе и ближе!
Теперь космический!
Венде капец?
Более 50% жителей орбиты используют Linux!
Скоро заголовок от Ализара: Windows осталась толкьо на Земле. Вся солнечная система использует Linux.
Та что там солнечная система, уже во всей видимой части Вселенной используется Linux.
На марсоходе например VxWorks работает, а не linux
А не та ли это VxWorks, которая «сестричка» Wind River Linux? ;-)
А вдруг где-то езще есть винда? Всяко бывает :)
Потянет ли МКС новый КДЕ?
Если пропатчить — потянет.
Конечно да, а вы сомнивались? Просто нужно переписать 99.99% кода ядра.
Прошу прощения, я видно не в теме… Что вы имееете ввиду, что за проблема такая с новым КДЕ?
Стереотип: КДЕ тяжелый.
Это не требуется доказывать, это не стоит воспринимать всерьез.
Ассоциативный ряд: винда бсодит, дебиан устарел, КДЕ тяжелый, плазма падает, Java тормозит, vim пищит и все портит. Все хорошо пока все помнят, что это не стоит воспринимать серьезно.
Это не требуется доказывать, это не стоит воспринимать всерьез.
Ассоциативный ряд: винда бсодит, дебиан устарел, КДЕ тяжелый, плазма падает, Java тормозит, vim пищит и все портит. Все хорошо пока все помнят, что это не стоит воспринимать серьезно.
Сравните гном 2 и последний кде. Только ничего не говорите про «вот это я понимаю красота» и про «всё можно отключить». Не относитесь ко мне серьёзно. Я вообще за OS/2
Теперь я уверен что МКС не упадёт
Зависнет что-ли?
После обновления чёнть отвалится
Хорошо бы, чтобы это чёнть на нас не рухнуло.
Потому то и дебиан выбрали чтобы обновлений не бояться.
Только ubuntu, только хардкор
все таки цикл обновлений у rhel/centos будет подольше. Меньше мажорных обновлений — меньше поводов бояться.
Так МКС переходит на линукс или персональные компъютеры астронавтов? Помоему разница колоссальная. Ализаровщина процветает.
Торрент-трекер
Ждем ThePirateSpaceStation.sp ;)
На северокорейских ракетах будут харды с .torrent-файлами с TPB на сервер переносить?
Хостинг продавать? 100% защита от маски-шоу.
LINUX в массы!!!
Приближается тот день, когда на родной Убунте вирусы начнут работать без вайна, перекомпиляции и установки зависимостей. Что тогда делать будем?
Останемся на линуксе, но теперь под ним будут игры запускаться нормально :-)
Выберем какой-нибудь дистрибутив отсюда, насколько помню в разных дистрибутивах одни и те же вирусы не работают еще :)
Та не переживайте: есть ещё *bsd, plan9 и целый воз и маленькая тележка не очень популярных *nix подобных дистрибутивов, куда можно мигрировать, если внезпно gnu/linux'ы испортятся.
Учитывая то, что бубунта != линукс, no problems, sir!
Ну да, +debian, arch, gentoo, fedora, etc… != linux, вы правы :)
Человека на лоре забанили, надо ж ему где-то резвиться, не трогайте его. Хотя самому убунта дико не нравится.
Арчик тоже скатился. Федора уже давно там. Дебиан вроде бы пока держится. Гентушечка со слакой впереди всех.
Ну я просто поясню свою мысль:
1) если придираться, то ни один дистрибутив не есть линукс, ибо линукс лишь ядро.
2) не понимаю каковы критерии «линуксовости» дистрибутива, что бы его считали «тръ» или как принято :). Поэтому и не понимаю почему такое отношение к Ubuntu, тот же самый GNU\Linux, тот же набор софта и сред и т д.
По второму пункту: Можете озвучить критерии?
1) если придираться, то ни один дистрибутив не есть линукс, ибо линукс лишь ядро.
2) не понимаю каковы критерии «линуксовости» дистрибутива, что бы его считали «тръ» или как принято :). Поэтому и не понимаю почему такое отношение к Ubuntu, тот же самый GNU\Linux, тот же набор софта и сред и т д.
По второму пункту: Можете озвучить критерии?
1) Знаю.
2) «True» — тот дистрибутив, который оставляет пользователю свободу действий (слака, гента…); «shit» — который сжимает в тисках (бубунта, арчег, федорка…).
2) «True» — тот дистрибутив, который оставляет пользователю свободу действий (слака, гента…); «shit» — который сжимает в тисках (бубунта, арчег, федорка…).
А слака предоставляет свободу от самостоятельного слежения над зависимостями? Гента и слака дают свободу установить и использовать дистрибутив без грамма настроек? Все относительно, на той же Убунте тот же большой выбор ДЕ, оконных менеджеров, программ и т д… Может не так гибко как в генте с настройками, но у каждого дистрибутива своя прадигма.
Мне кажется имеется в виду более глобальная свобода, например из моего любимого Арчика выпилить systemd уже довольно проблематично.
Узко мыслите, батенька!
Ну у меня критерий простой: нужно сделать свой дистрибутив с уникальными возможностями, скорее всего возьму Gentoo, если нужна рабочая лошадка возьму ubuntu. У каждого свои критерии, в этом и красота экосистемы Linux.
Рабочая лошадка — это лошадь-универсал обычно, но никак не кривой пони, хромой на три ноги!
Хотя, конечно, работа разная бывает: если цель работы — только пасьянсы раскладывать, то и хромой на три ноги пони подойдет. Но в более общих случаях вам все-таки понадобится артиллерия потяжелей. Да и вообще, кому охота сидеть в стандартном окружении? Вот, например, мой желудок очень плохо переносит всякое уродство вроде вяленого, четверокед, гномов и т.п… А хромой на три ноги пони не умеет по-другому!
Хотя, конечно, работа разная бывает: если цель работы — только пасьянсы раскладывать, то и хромой на три ноги пони подойдет. Но в более общих случаях вам все-таки понадобится артиллерия потяжелей. Да и вообще, кому охота сидеть в стандартном окружении? Вот, например, мой желудок очень плохо переносит всякое уродство вроде вяленого, четверокед, гномов и т.п… А хромой на три ноги пони не умеет по-другому!
Вы предвзято относитесь. Может с администрированием труднее, но с разработкой на ubuntu все в полном порядке. Я пока могу говорить только за 2 сферы: разработка ПО и студенческая жизнь (не считая укоренелости вроде веб игры и т д). Для меня рабочая лошадка — это сел и поеахл, а не взял жеребенка вырастил как нужно и поехал. Под ubuntu доступны все известные мне WM и DE и можно городить ту же солянку какую нравится.
П.С.
Сам с пол года наверное сидел на арче, но позже вернулся обратно, даже не из-за systemd(я к нему отношусь равнодушно, как и к любой системе инициализации), а из-за того что устал думать что все работает чиня неожиданно отвалившуюся приблуду после апдейта. Такое к сожалению не по мне
П.С.
Сам с пол года наверное сидел на арче, но позже вернулся обратно, даже не из-за systemd(я к нему отношусь равнодушно, как и к любой системе инициализации), а из-за того что устал думать что все работает чиня неожиданно отвалившуюся приблуду после апдейта. Такое к сожалению не по мне
Ну, можете считать, что у меня хроническое рукожопие. Но таки бубунта была первым дистрибутивом, который я вообще не смог настроить. А если всмомнить, что эта хромоножка еще и пасется не в стабильном, а в тестовом репозитории дебьяна…
// Сам до сих пор на скотском арче, все никак генту с флешки на жесткий диск не перенесу… И, кстати, не надо про системы инициализации: поцтеризм головного мозга и Марка помаленьку касается…
// Сам до сих пор на скотском арче, все никак генту с флешки на жесткий диск не перенесу… И, кстати, не надо про системы инициализации: поцтеризм головного мозга и Марка помаленьку касается…
Да я ничего не считаю, просто каждому свое и все дистрибутивы хороши по-своему :) Да и я честно говоря долек от того, что там под копотом, для меня главное как это все в итоге работает, поэтому мне все равно на системы инициализации. Ну ладно, думаю хватит ломать комья о то, обо что уже сломано множество других :)
Под ubuntu доступны все известные мне WM и DE и можно городить ту же солянку какую нравится.
Тут вы немного не договариваете.
Например в случае с xfce проще снести ubuntu и установить xubuntu ибо при других способах (включая xubuntu-desktop) получите столько проблем, что весь смысл убунты теряется.
Я согласен с вами в том, что гибкость там есть, но она так глубоко закопана, что иногда лучше не вспоминать.
А что мешает вирусам сегодня работать без вайна, перекомпиляции и установки зависимостей? Баш везде одинаковый, перловка с питоном тоже везде по-дефолту стоит. Массовой вирусни под линух нет только по одной причине — экономически невыгодно.
Хотя эпидемии PHP вирусов на хостингах случаются иногда, да.
Хотя эпидемии PHP вирусов на хостингах случаются иногда, да.
мешает немного более продвинутая система прав чем у Windows, также изначально более внимательное проектирование системы по раздаче прав, ибо никогда cups не должен открывать /dev/cdrom, ибо можно спокойно какой-нибудь каталог с /usr/lib ставить read-only
поддержу Вас именно в том, что экономически не выгодно использовать уязвимости программ, которые могут исчезнуть или изначально отсутсвовать в другой версии в другом дистрибутиве
поддержу Вас именно в том, что экономически не выгодно использовать уязвимости программ, которые могут исчезнуть или изначально отсутсвовать в другой версии в другом дистрибутиве
можете пояснить такой момент, зловредной программе обязательно лезть в систему, пользовательские данные до которых полный доступ не важны?
мешает немного более продвинутая система прав чем у Windows
Tell me moar.
также изначально более внимательное проектирование системы по раздаче прав
Вот в оригинальной NT — да изначально вся система раздачи прав проектировалась, а в оригинальном PDP-11 не было даже разделения адресных пространств — какие уж там права. Все более-менее вменяемые (насколько вообще юникс может быть вменяемым) юниксы (Solaris, FreeBSD, OSX, etc) в конце концов внедрили NT-шные ACL-ы (вернее файловой подмножество этих аклов под названием NFSv4 ACLs), в линуксе же до сих пор не могут решить как же контроллировать безопасность. И это не говоря о том, что вот уже 20 лет (может и больше) существует как минимум два полностью документированных способа при помощи которых непривилегированный процесс может «подслушивать» за всеми нажатиями клавиш в графической сессии (в том числе и из gksudo и из терминала с sudo). Все об этом знают и всем пофиг.
Кроме того, как уже написано, объясните почему повышение привилегий (с которым в линуксе, как я уже сказал, даже без тонн уязвимостей проблем нет — можно просто «подсмотреть» пароль) так уж обязательно?
И это не говоря о том, что вот уже 20 лет (может и больше) существует как минимум два полностью документированных способа при помощи которых непривилегированный процесс может «подслушивать» за всеми нажатиями клавиш в графической сессии (в том числе и из gksudo и из терминала с sudo). Все об этом знают и всем пофиг.
А можно поконкретнее и с пруфами? А то хоть и уверенно говорите, но как-то не аргументировано.
Кроме того, как уже написано, объясните почему повышение привилегий (с которым в линуксе, как я уже сказал, даже без тонн уязвимостей проблем нет — можно просто «подсмотреть» пароль) так уж обязательно?
Потому что при желании в одном сеане разные задачи (например, профили броузера) запускаются под разными пользователями, и без повышения привилегий Ваш вредонос доступ к данным другого профиля не получит. И как только будет малейшая серьезная эпидемия вредоносов под линукс, то все ПО с персональными данными на уровне построения дистрибутивов завернут в подобные «песочницы». В винде, вполне допускаю, что есть такая же возможность, но вот возможностей локального повышения привилегий в винде как-то уж сильно больше находят. И не надо мне говорить про популярность. Повышение привилегий — оно и на серверах повышение привилегий, а серверов под линукс в разы больше виндовых.
возможностей локального повышения привилегий в винде как-то уж сильно больше находят.
Побродите тут. И не забывайте, что есть раздел «Linux kernel», но нет раздела «Windows kernel», так что не совершайте типичнейшую ошибку.
серверов под линукс в разы больше виндовых.
Вы это серьезно? А можно пруф? Только не по вебсерверам (это лишь узкая ниша), а в целом.
Побродите тут. И не забывайте, что есть раздел «Linux kernel», но нет раздела «Windows kernel», так что не совершайте типичнейшую ошибку.
Правильно, именно поэтому, если мы сравниваем количество уязвимостей в Linux Kernel со всеми драйверами и прочим, что, в случае отсутствия нужды, грамотный сисадмин может отключить, без указания версии аж с 1999 года, то Windows* нам надо бы просуммировать и получим мы 1000 против 3 с лишним тысяч. Это не учитывая 6 сотен за невыкусываемый из системы IE.
Вы это серьезно? А можно пруф? Только не по вебсерверам (это лишь узкая ниша), а в целом.
Мы не сферическими серверными пиписьками меряемся. А степенью заинтересованости изготовителей малвари к заражению этой малварью конечных серверов. И, если для сферического сервера в вакууме у меня статистики нет (не особо вижу смысла ее гуглить в данном случае), то очевидно, что с точки зрения заражения намного интереснее как раз веб-сервера и маршрутизаторы. Статистико по ним сами найдете?
количество уязвимостей в Linux Kernel со всеми драйверами и прочим, что, в случае отсутствия нужды, грамотный сисадмин может отключить, без указания версии аж с 1999 года
Так выберете, например, по 2012-2013-м годам. Заодно почитайте их, там актуальные версии ядра.
Это не учитывая 6 сотен за невыкусываемый из системы IE.
Невыкусываемый? Вы это сейчас серьезно? Скажите, а у вас есть информация по винде более актуальная, чем во времен XP?
с точки зрения заражения намного интереснее как раз веб-сервера и маршрутизаторы.
Вы сказали «а серверов под линукс в разы больше виндовых». Не «вебсерверов», а просто «серверов». Моя статистика говорит о том, что доля линукса близка к нулю, и из многих сотен единиц серверов моей организации единицы работают под линуксом, побольше под юниксами вроде солярки и AIX, и большинство под виндой. Из этих сотен систем единицы опубликованы в интернет.
С точки зрения заражения на первом месте всегда стоят сервера баз данных, процессинг и так далее.
Маршрутизаторы на линуксе? Это примерно такая же экзотика, как маршрутизатор на Windows. Мы ведь не про SOHO и микротики говорим? Да и тот самый линукс на маршрутизаторах обычно полностью огораживают от доступа к менеджменту даже из доверенных сегментов сети. Да, есть експлоиты, пускающие сетевое железо в ребут. А вот с експлоитами, позволяющими получить несанкционированный доступ, обычно напряженка.
Так выберете, например, по 2012-2013-м годам. Заодно почитайте их, там актуальные версии ядра.
Вы пытаетесь потренировать мои таланты в сложении? Даже за 2012-2013 в винде больше получается. Уж извините. И да, я считаю всю винду, так мы считаем весь linux kernel без учета того, что в большинстве случаев бОльшая часть модулей\опций конфигурации ядра не задействуется, следовательно 90% уязвимостей неприменимо, и без учета обязательной на серверах grsecurity, с которой не работают остальные 9,999%.
Невыкусываемый? Вы это сейчас серьезно? Скажите, а у вас есть информация по винде более актуальная, чем во времен XP?
Да, с надеждой ставил Windows 7 N и Windows 7 Е. По факту отсутствует только «морда». Так же как и после удаления, установленного по умолчанию на серверных Windows server 2008 R2. Что происходит после Windows 8 — не знаю. А что там что-то новое?
Вы сказали «а серверов под линукс в разы больше виндовых». Не «вебсерверов», а просто «серверов». Моя статистика говорит о том, что доля линукса близка к нулю, и из многих сотен единиц серверов моей организации единицы работают под линуксом, побольше под юниксами вроде солярки и AIX, и большинство под виндой. Из этих сотен систем единицы опубликованы в интернет.
С точки зрения заражения на первом месте всегда стоят сервера баз данных, процессинг и так далее.
Я говорил, рассчитывая на отсутствие демагогии и учет собеседником контекста. Мне, как и злоумышленику пофигу что там у Вас за фаерволами не смотрит в интернет. Хоть dos. Задача производителей современной малвари — в большинстве случаев сейчас не стырить Ваши данные, под это затачивается специальное ПО и разрабатываются эксклюзивные стратегии. Современная мальварь расчитана на хосты, смотрящие в интернет, способные слушить зомбями в ботнетах, майнерами биткйонов и т.п. Так что под серверами, с учетом конктекста, я имел ввиду именно сервера смотрящие в интернет.
Маршрутизаторы на линуксе? Это примерно такая же экзотика, как маршрутизатор на Windows. Мы ведь не про SOHO и микротики говорим? Да и тот самый линукс на маршрутизаторах обычно полностью огораживают от доступа к менеджменту даже из доверенных сегментов сети. Да, есть експлоиты, пускающие сетевое железо в ребут. А вот с експлоитами, позволяющими получить несанкционированный доступ, обычно напряженка.
Мы говорим про все, что с «linux kernel». Даже про андроид. Но в контексте именно уязвимостей ядра, а не стороннего софта. И к менеджменту любых серверов доступ должен быть строго ограничен. Но это никак не относится к тому, что интереснее производителям малвари.
в большинстве случаев бОльшая часть модулей\опций конфигурации ядра не задействуется, следовательно 90% уязвимостей неприменимо, и без учета обязательной на серверах grsecurity, с которой не работают остальные 9,999%.
Забавная арифметика. Вы только что сказали, что на линуксе работает один эксплоит из ста тысяч. Жаль, что вы не имеете ни малейшего представления о безопасности. Беда в том, что GRSec как раз ни разу не защищает от большинства видов privilege escalation…
По факту отсутствует только «морда».
Расскажите поподробнее. К примеру, про конкретные риски, которые это несет. На сервере. С учетом того, что експлоиты, позволяющие получить privilege escalation через браузер — дикая редкость, и обычно через него делают лишь code execution (а если человек дошел до того, что способен вызвать браузер на сервере, то ему это уже и не требуется).
А еще почитайте про server core. Для параноиков самое то.
Мне, как и злоумышленику пофигу что там у Вас за фаерволами не смотрит в интернет. Хоть dos. Задача производителей современной малвари
Вы очень плавно перешли сначала с «сервера» на «вебсервера», потом с «вебсервера» на «малварь», и еще обвиняете меня в демагогии :)
Интересы кулхацкеров вовсе не ограничиваются хомячками. Более того, от хомячков кулхацкерам обычно требуется вовсе не участие в ботнетах (с точки зрения DDOS) и тем более не майнинг, а персональная информация, в том числе платежная.
Но в контексте именно уязвимостей ядра, а не стороннего софта.
Ага. Тем более странно упоминание вами IE. Ах да, это опять демагогия, я понял :)
Так вы почитали список уязвимостей по винде и линуксу? Сравнили, что относится к ядру, а что — нет?
Да, с надеждой ставил Windows 7 N и Windows 7 Е. По факту отсутствует только «морда». Так же как и после удаления, установленного по умолчанию на серверных Windows server 2008 R2. Что происходит после Windows 8 — не знаю. А что там что-то новое?
Вы правы — IE не выкусываемый по сути, ибо проводник, рабочий стол, и ещё некоторые компоненты GUI системы — это именно IE. Даже с выключенным компонентом IE (браузером) всегда можно в любом приложении создать IE Frame и «сделать свой браузер», который по сути останется тем же IE. :)
p.s: в Win8 всё тоже самое.
Если вы запустили процесс от другого пользователя и дали ему доступ к X-серверу, то он сможет слушать все нажатия клавиш в текущей X-сессии. Насколько я помню, в Wayland и Mir эту проблему как-то хотели решить.
Подробнее, пожалуйста! Хотя бы ссылку на описание. У меня вот наоборот проблема дать доступ тому же майнеру к текущему сеансу, когда майнер запущен из-под другого пользователя.
Да, в wayland и mir собираются ввести UI изоляции. Вот только wayland уже как минимум 3 года — just around the corner, а когда он наконец прибудет, я хочу посмотреть на 2 вещи:
1. Сколько дистрибутивов будут продолжать использовать «теплый и ламповый» Xorg (ну вот как с gnome2/3)
2. Как именно будет реализована совместимость с Xorg — а она будет нужна еще очень долго. ну то есть вся X сессия пускается в отдельном wayland клиенте — вопрос в том, будут ли X приложения в этом сессии иметь возможность использовать все те же API, которые используются сейчас.
1. Сколько дистрибутивов будут продолжать использовать «теплый и ламповый» Xorg (ну вот как с gnome2/3)
2. Как именно будет реализована совместимость с Xorg — а она будет нужна еще очень долго. ну то есть вся X сессия пускается в отдельном wayland клиенте — вопрос в том, будут ли X приложения в этом сессии иметь возможность использовать все те же API, которые используются сейчас.
А можно поконкретнее и с пруфами?
А чего конкретнее? Вроде никаких секретов и нет. Первый — xinput, описанный в статье с говорящим названием The Linux Security Circus: On GUI isolation (статье два года, самой проблеме — двадцать, а решать ее никто не собирается). Другая — xspy, который не получает события нажатий на клавиши, а постоянно поллит состояние клавиатуры и уже это состояние декодирует в отдельные события. Версия xspy, доступная сейчас в интернете датируется где-то 97-м годом (точнее не помню), причем до введения xauth — это работало по сети и без необходимости авторизации.
Если уж разговор зашел о безопасности, есть еще одна интересная особенность Линукса, которой больше нигде нет: если менеджер пакетов сказал, что он установил обновление (включая security update-ы) — это еще не значит, что новый код начал работать и проблема (включая проблемы безопасности) устранена на данном конкретном компьютере. Клево, да?
По первому абзацу — принимается. Каюсь, не знал. Но по Вашей ссылке так же написано, что нигде с этим не гладко, даже в винде только с висты попытки принимаются, но и то не особо успешно. Или в семерке ни одного кейлогера не было?
По второму абзацу — в дебиане обновленный пакет перезапускается. В остальных дистрибутивах отследить что обновилось и перезапустить вместе с завимисостями проблемы не составляет. Это раз. В винде Вы чертову прорву обновлений без полной перезагрузки вообще не примените — это два.
По второму абзацу — в дебиане обновленный пакет перезапускается. В остальных дистрибутивах отследить что обновилось и перезапустить вместе с завимисостями проблемы не составляет. Это раз. В винде Вы чертову прорву обновлений без полной перезагрузки вообще не примените — это два.
1. Ну во-первых висте уже почти десяток лет. А вообще да. Это все началось с активного обсуждение shatter attack — как раз таки в начале 2000-х (когда XP уже была выпущена и менять там что либо было уже поздно). Вот только в XP никто и не делал вид, что пользователь в безопасности путем совершенно бесполезного спрашивания пароля на том же десктопе, что недоверенные приложения (это примерно так же безопасно, как прилепить свой 20-символьный пароль стикером на монитор — только физического доступа к машине не нужно)
2. Нет, непосредственно deb — я трассировал весь путь от apt-get через dpkg и до cpio/tar и ничего подобного там нет. Файлы разархивируются и запускаются пост-инсталл скрипты. Эти скрипты могут дернуть update-notifier, а могут и не дернуть. Причем зачастую высокоуровневые пакеты типа firefox или kernel таки просят перегрузиться (а всякие udev — рестартуют демон), но если апдейт приходит на библиотеку — libpng там, libc6 или тот же libudev — то ничего не происходит. Вообще ничего. Хотите — проверьте сами
2. Нет, непосредственно deb — я трассировал весь путь от apt-get через dpkg и до cpio/tar и ничего подобного там нет. Файлы разархивируются и запускаются пост-инсталл скрипты. Эти скрипты могут дернуть update-notifier, а могут и не дернуть. Причем зачастую высокоуровневые пакеты типа firefox или kernel таки просят перегрузиться (а всякие udev — рестартуют демон), но если апдейт приходит на библиотеку — libpng там, libc6 или тот же libudev — то ничего не происходит. Вообще ничего. Хотите — проверьте сами
Проверено на Арче. Потеряно примерно недельное изменение мира на сервере Майнкрафт )) Ах как радовались игроки, заплатив таким образом за мое самообразование в этом вопросе)))) Пришлось признать, что надо либо ребут после обновления, либо ручной перезапуск сервисов.
И да. Насчет «любимых» багов. Кажется в части работы с Netbios в винде была уязвимость, которую эксплуатировал небезывестный voidozer (грешен, сам баловался), который удаленно в одну кнопку валил любую винду (в т.ч. серверную) от 95 до Windows XP SP 2(3). МС фиксила это года!
В винде, вполне допускаю, что есть такая же возможность, но вот возможностей локального повышения привилегий в винде как-то уж сильно больше находят. И не надо мне говорить про популярность. Повышение привилегий — оно и на серверах повышение привилегий, а серверов под линукс в разы больше виндовых.
Ох сколько ж голословных утверждений. Где пруф, что повышений привилегий в винде находят больше (я уж не говорю, о том что в Linux-е довольно странный подход к классификации уязвимостей — ну не пришло еще понимание того, что memory corruption это практически всегда потенциальное исполнение кода даже если вот прямо сейчас и здесь не совсем очевидно как это сделать).
Кстати, раз уж речь зашла об LPE уязвимостей, отмечу что моей любимой является уязвимость в /dev/kmem которую фиксили то ли 7 то ли 8 раз. В крошечном кусочке кода то.
Насчет серверов — таки да, Windows серверов больше. И даже если брать только Web сервера, которые действительно весьма неплохо распространены, то не совсем понятно почему Вы их в пример приводите. Сервера Sony были на линуксе, HyperVM, Gawker, TJ Maxx, Steam (форум — который взломали, на чем у них там бекенд самого сервиса я без понятия), kernel.org и linuxfoundation.com, HB Gary Federal (тоже форум, который взломали — на Линуксе), MySQL ломали ТРИЖДЫ в течение года, это только high profile взломы.
Что конкретно Вы хотите сказать своим «и не надо говорить о популярности»?
Сервера Sony были на линуксе, HyperVM, Gawker, TJ Maxx, Steam (форум — который взломали, на чем у них там бекенд самого сервиса я без понятия), kernel.org и linuxfoundation.com, HB Gary Federal (тоже форум, который взломали — на Линуксе), MySQL ломали ТРИЖДЫ в течение года, это только high profile взломы.
При чём тут Линукс, если уязвимости были в веб-приложениях?
Обожаю такой подход. У Линукса невзламываемая «супирбизапастнасть». По определению: все что взломали не является линуксом (в самом крайнем случае можно объявить линуксом только ядро). А разве эта ветка не началась с «более вменяемой системы прав», которая якобы должна предотвратить нежелательные последствия взлома даже если таковой вдруг (уму непостижимо) случится? Причем список я привел далеко не полный — его можно продолжать и продолжать (ломали и RedHat — дважды, и Apache Foundation, и PHP и вообще). Но раз уж мы начали меряться безопасностью, сможете привести пример хоть одного high-profile взлома того же IIS (а он занимает долю рынка веб-серверов на несколько порядков бОльшую, чем доля Линукса на десктопах — причем с тенденцией к увеличению доли по мере увеличения «серьезности» сайтов) за последние, ну пусть будет 5 лет? И чтоб непременно с компрометацией пользовательских данных, утечкой кредиток и прочей расчлененкой?
Тогда если уж на то пошло, под виндой малвари тоже нет. При чем тут винда, если уязвимости в продуктах Adobe, Oracle или вообще ДНК (я раз за разом поражаюсь насколько эффективны примитивные «fake antivirus» атаки). Вот не было на винде за последние 10 лет эпидемий, не связанных с пользовательской глупостью и это ДАЖЕ при распространенности в 1.6-2.4 миллиарда копий (по разным оценкам).
Тогда если уж на то пошло, под виндой малвари тоже нет. При чем тут винда, если уязвимости в продуктах Adobe, Oracle или вообще ДНК (я раз за разом поражаюсь насколько эффективны примитивные «fake antivirus» атаки). Вот не было на винде за последние 10 лет эпидемий, не связанных с пользовательской глупостью и это ДАЖЕ при распространенности в 1.6-2.4 миллиарда копий (по разным оценкам).
Насчет серверов — таки да, Windows серверов больше. И даже если брать только Web сервера, которые действительно весьма неплохо распространены, то не совсем понятно почему Вы их в пример приводите. Сервера Sony были на линуксе, HyperVM, Gawker, TJ Maxx, Steam (форум — который взломали, на чем у них там бекенд самого сервиса я без понятия), kernel.org и linuxfoundation.com, HB Gary Federal (тоже форум, который взломали — на Линуксе), MySQL ломали ТРИЖДЫ в течение года, это только high profile взломы.
Что конкретно Вы хотите сказать своим «и не надо говорить о популярности»?
Только то, что уязвимостей в виндовсах находят больше, хотя торчащих наружу веб-серверов больше под линуксом. А Ваше перечисление взломанных ресурсов яйца выеденого не стоит без указания способов взлома. Может там троян с домашнего ноута админа, который по недоразумению вод windows 7 был, закрытый ключ из putty увел. Иначе это напоминает регулярно находимые Касперским и Ко «ВИРУСЫ!!!!111» под линукс.
Но раз уж мы начали меряться безопасностью, сможете привести пример хоть одного high-profile взлома того же IIS (а он занимает долю рынка веб-серверов на несколько порядков бОльшую, чем доля Линукса на десктопах — причем с тенденцией к увеличению доли по мере увеличения «серьезности» сайтов) за последние, ну пусть будет 5 лет? И чтоб непременно с компрометацией пользовательских данных, утечкой кредиток и прочей расчлененкой?
Сначала Вы приведите пример серьезных сайтов с IIS, пожалуйста. Хотя бы по числу упомянутых Вами взломанных «линуксовых». И с пруфами, что там IIS. На моей памяти лет 10 назад даже microsoft.com на *BSD был.
Только то, что уязвимостей в виндовсах находят больше, хотя торчащих наружу веб-серверов больше под линуксом
Вы вообще в курсе, что подобные утверждения нужно хоть как то обосновывать? ФАКТАМИ.
Сначала Вы приведите пример серьезных сайтов с IIS, пожалуйста.
Нет, ну серьезно. Microsoft.com — на IIS (RedHat ломали с проникновением во внутреннюю сеть — дважды, Apache foundation ломали, kernel.org с linuxfoundation.com — тоже ломали, да кого только не ломали, а вот Microsoft.com — так и не сломали). eBay вот на IIS и serverexchange-евые проекты. Хватит для начала? А вообще даже netcraft у которого методология «хромает» и тот говорит, что по мере перехода от всех хостов (с дорвеями и пр.) к серверам, которые имеют валидный SSL сертификат, к серверам из Fortune1000 — процент использования IIS неуклонно растет.
Microsoft тоже ломали: news.cnet.com/2100-1001-247716.html — хоть это было и давно, но всё-таки проникновение во внутреннюю сеть, а вы заявляете, что MS вообще не ломали. Плюс совсем недавно было заражено небольшое количество компьютеров внутри сети MS: goo.gl/kGrZG (это только первое, на что я наткнулся).
Ещё взламывали T-Mobile, который на ISS: goo.gl/ShQQe
Ebay вообще-то использует и юниксы, и винду: highscalability.com/blog/2008/5/27/ebay-architecture.html А сейчас на ebay.com я вижу Apache.
Apache Foundation и kernel.org были взломаны путём перехвата данных для авторизации (ну, каким боком Линукс с этим связан?!). Взлом linuxfoundation.com непосредственно связан с атакой на kernel.org, то есть это не отдельный взлом. Да и вообще, всё-таки многие ваши примеры взломов никак не относятся к безопасности ОС. Если вы считаете иначе, то от вас бы тоже не помешали обоснования с конкретикой на этот счёт.
Ещё взламывали T-Mobile, который на ISS: goo.gl/ShQQe
Ebay вообще-то использует и юниксы, и винду: highscalability.com/blog/2008/5/27/ebay-architecture.html А сейчас на ebay.com я вижу Apache.
Apache Foundation и kernel.org были взломаны путём перехвата данных для авторизации (ну, каким боком Линукс с этим связан?!). Взлом linuxfoundation.com непосредственно связан с атакой на kernel.org, то есть это не отдельный взлом. Да и вообще, всё-таки многие ваши примеры взломов никак не относятся к безопасности ОС. Если вы считаете иначе, то от вас бы тоже не помешали обоснования с конкретикой на этот счёт.
По поводу взлома МС в 2000-м — это вообще несерьезно. У меня тогда линукс падал из-за того, что ничего не «знал» о memory hole а для того чтобы по-человечески прикрутить русский приходилось долго танцевать с бубном. Не удивлюсь, если тогда в МС на куче компьютеров была винда 9x (которая ГОРАЗДО хуже даже линукса в плане безопасности). Недавнее проникновение — еще забавнее: узконаправленная на пользователей Mac «watering the hole» атака, привела к заражению «небольшого колечества» в «основном в Mac подразделении». Явно винда
А вот за это спасибо — теперь у меня есть один пример. При этом в прошлом году я как раз таки все еще был абонентом T-Mobile — так эти уроды даже не попросили сменить пароль (хотя другие опсосы ничем не лучше)
Как минимум в случае kernel.org этого не известно. ПРЕДПОЛАГАЕТСЯ что это было так (причем с аргументацией типа: «А иначе ж просто невозможно»), на самом же деле неизвестны не только технические подробности проникновения, но даже ДАТА проникновения известна лишь приблизительно.
Примеры имеют самое НЕПОСРЕДСТВЕННОЕ отношение к контексту разговора, заданному, надо сказать, не мной. Напомню: «В винде, вполне допускаю, что есть такая же возможность, но вот возможностей локального повышения привилегий в винде как-то уж сильно больше находят. И не надо мне говорить про популярность. Повышение привилегий — оно и на серверах повышение привилегий, а серверов под линукс в разы больше виндовых.».
Причем в отличие от большинства случаев заражения винды, когда задействуется соц инженерия в том или ином виде (хоть и с большой натяжкой «неустановленные апдейты» тоже можно считать соц инженерией ибо это такое же использование человеческой необразованности/глупости, а не технический взлом), практически все взлом линукса — чисто технические.
Ещё взламывали T-Mobile, который на ISS
А вот за это спасибо — теперь у меня есть один пример. При этом в прошлом году я как раз таки все еще был абонентом T-Mobile — так эти уроды даже не попросили сменить пароль (хотя другие опсосы ничем не лучше)
Apache Foundation и kernel.org были взломаны путём перехвата данных для авторизации
Как минимум в случае kernel.org этого не известно. ПРЕДПОЛАГАЕТСЯ что это было так (причем с аргументацией типа: «А иначе ж просто невозможно»), на самом же деле неизвестны не только технические подробности проникновения, но даже ДАТА проникновения известна лишь приблизительно.
Да и вообще, всё-таки многие ваши примеры взломов никак не относятся к безопасности ОС. Если вы считаете иначе, то от вас бы тоже не помешали обоснования с конкретикой на этот счёт.
Примеры имеют самое НЕПОСРЕДСТВЕННОЕ отношение к контексту разговора, заданному, надо сказать, не мной. Напомню: «В винде, вполне допускаю, что есть такая же возможность, но вот возможностей локального повышения привилегий в винде как-то уж сильно больше находят. И не надо мне говорить про популярность. Повышение привилегий — оно и на серверах повышение привилегий, а серверов под линукс в разы больше виндовых.».
Причем в отличие от большинства случаев заражения винды, когда задействуется соц инженерия в том или ином виде (хоть и с большой натяжкой «неустановленные апдейты» тоже можно считать соц инженерией ибо это такое же использование человеческой необразованности/глупости, а не технический взлом), практически все взлом линукса — чисто технические.
Ооигинальный нт это, наверное, ос/2? Да, там всё было не так как в пдп11. Однако нт-шные нововведения почему-то не мешают существовать и вредоносить вирусам.
Оригинальный NT — это NT3.51
OS/2 на нем был подсистемой, которую позже выпилили за ненадобностью. К самой OS/2 он не имел вообще никакого отношения ни в дизайне ни в реализации.
Ага, ирландским. Скачай и поставь. Приведите мне примерно хотя бы ОДНОЙ масштабной эпидемии (ну пусть это будет 0.05% популяции — 500 тыс заражений) за последние 10 лет, которая бы не использовала пользовательскую тупость: пользователь не запускает ничего сам и при этом своевременно (хотя бы течение недели-двух) устанавливает апдейты. Ну вот примерно как Flashback — 0day, drive-by и 1% популяции заражен.
OS/2 на нем был подсистемой, которую позже выпилили за ненадобностью. К самой OS/2 он не имел вообще никакого отношения ни в дизайне ни в реализации.
Однако нт-шные нововведения почему-то не мешают существовать и вредоносить вирусам.
Ага, ирландским. Скачай и поставь. Приведите мне примерно хотя бы ОДНОЙ масштабной эпидемии (ну пусть это будет 0.05% популяции — 500 тыс заражений) за последние 10 лет, которая бы не использовала пользовательскую тупость: пользователь не запускает ничего сам и при этом своевременно (хотя бы течение недели-двух) устанавливает апдейты. Ну вот примерно как Flashback — 0day, drive-by и 1% популяции заражен.
conflicker. Помню лечил от него ноут с лицензионной ежедневно обновляемой виндой (XP вроде). Вирь прилетел из зараженной локалки через дырявую службу Server. Первым делом пришлось тогда службу эту вырубить вообще. Внятного исправления на тот момент не было.
И да, чтоб не соврать — сейчас перечитал про конфликер в википедии и что микрософт типа выпустила обновления раньше первого появления вируса. Не знаю как так получилось, но точно помню, что ноут будучи обновленным до упора продолжал этот вирус из сети выхватывать.
А что за Flashback?
И да, чтоб не соврать — сейчас перечитал про конфликер в википедии и что микрософт типа выпустила обновления раньше первого появления вируса. Не знаю как так получилось, но точно помню, что ноут будучи обновленным до упора продолжал этот вирус из сети выхватывать.
А что за Flashback?
А-а-а-а-а. Что же Вы делаете, блин. Я чуть не выматерился. Вот прямо сейчас. Мля, сходите ну хотя бы в википедию. Ну почитайте ХОТЬ ЧТО ТО перед тем как говорить о безопасности. НУ ХОТЬ ЧТО ТО!!! Нет, я реально тупо теряю время. Вы же не можете не осознавать, что не разбираетесь в вопросе. И друг этот — со всеми апдейтами и заразившийся ни с того конфикером — тоже вымышенный. Вот НА ХРЕНА ВЫ ВРЕТЕ?!!! Вот из-за подобного вранья кругом и засилье икспертов.
Да был тут один недавно.
А что за Flashback?
Да был тут один недавно.
Да, кстати, в будущем хотя бы называйте конфикер правильно, когда рассуждаете о нем — а то ну совсем несолидно.
Если вспоминать историю то оригинальная NT да говорят была крута, ибо её делала какая-то очень крутая команда — но ядро это ещё не всё и из-за большого груза программ, то есть из за совместимости, видимо, как раз и убрали то, что изначально проикторовалось.
Не надо вспоминать PDP-11 он к линуксу ну косвенное отношение имеет. А по поводу ACL — это на мой взгляд более навроченный и избыточный вариант по сравнению с той схемой что есть. А та схема что есть была введена в стандарт POSIX по настоянию кого бы вы думали? — компании XEROX да да той самой в которой всякие чудаки придумывали мышку и GUI.
Не надо вспоминать PDP-11 он к линуксу ну косвенное отношение имеет. А по поводу ACL — это на мой взгляд более навроченный и избыточный вариант по сравнению с той схемой что есть. А та схема что есть была введена в стандарт POSIX по настоянию кого бы вы думали? — компании XEROX да да той самой в которой всякие чудаки придумывали мышку и GUI.
Если вспоминать историю то оригинальная NT да говорят была крута, ибо её делала какая-то очень крутая команда...
Ничего там не убирали. Наоборот — очень много добавили с тех пор.
Не надо вспоминать PDP-11 он к линуксу ну косвенное отношение имеет.
Он имеет самое непосредственное отношение к «проектированию системы прав юникса» о котором изначально зашел разговор. Это был шаг назад даже по меркам 70-х годов (в MULTICS были ACL-ы). Ну не создавался юникс для безопасности. И даже после того, как ее начали «прикручивать» — все получилось довольно нелепо («суперпользователь» — один из самых уродливых хаков, связанных с безопасностью, которые я могу вспомнить).
В винде большинство народа сидит под администратором )
Как только то же самое «большинство народа» будет сидеть по Linux, они там точно также будут сидеть под рутом, готов спорить.
Все-таки по моим наблюдениям большинство не отключает UAC, так что технически они вовсе не сидят под администратором, хотя и логинятся под ним в систему.
придётся ставить антивирус и смотреть в логах как вирус отчаянно борется с антивирусом ((
Так все-таки у них там одни Thinkpad или нет?
Хороший способ выбирать себе ноутбук, зная чем пользуется NASA.
Хороший способ выбирать себе ноутбук, зная чем пользуется NASA.
Например если сюда посмотреть..
IBM, к сожалению, не производит больше ноутбуки. А у Lenovo всё же уже немного другие продукты.
Производство Thinkpad уже давно совсместно с Lenovo было, у меня сейчас T61, продукты хоть и похуже чем у моделей 8+ летней давности, но то что на них без проблем работают дистрибутивы Linux (и фишки типа thinklight и trackpoint) перевешивает.
Недавно было видео с Redhat, у них тоже Thinkpad в офисах.
Недавно было видео с Redhat, у них тоже Thinkpad в офисах.
Да, вот более новые фотографии, до сих пор используют, логотипов IBM справа внизу под клавиатурой нет, это Lenovo
Новые фотографии
Содержимое
Содержимое
Вот только с кулерами у Thinkpad-ов беда, только успевай менять…
Как выглядела стыкавка с МКС раньше:
Как она будет выглядеть теперь:
/!\ Найдено новое оборудование "Союз-ТМА"Как она будет выглядеть теперь:
[commander@ISS]$ sudo apt-get install soyuz-common soyuz-tma
«Теперь устройство „Союз-ТМА“ можно безопасно удалить из системы.»
soyuz-common soyuz-tmahttps://dev.launchpad.net/Soyuz
на МКС такие антенны, мм… Теперь поставим aircrack и крякнем марсианскую точку доступа!
Сначала, я переживал, что некоторые из наших технарей заскучают. Но этого не произошло.
Но им теперь некогда скучать...))
Надо было стим еще раньше под линукс выпустить.
Новость хорошая, а вот комментарии обезьяньи, каждый отличился остроумием. Написано же, зачем перешли на линукс, чтобы самим можно было править что-то необходимое.
Странно, что в NASA не сделали свой дистрибутив, на основе того же Debian 6.0, или любого другого, сразу с набором необходимых программ, и с наличием локального репозитория всего софта, который теоретически сможет понадобиться.
Странно, что в NASA не сделали свой дистрибутив, на основе того же Debian 6.0, или любого другого, сразу с набором необходимых программ, и с наличием локального репозитория всего софта, который теоретически сможет понадобиться.
Ничего странного. Вот, например, несмотря на то, что в астрофизике (моя область) подавляющее большинство софта — только под линукс (под мастдайку тоже есть, но очень мало), «астрофизического» дистрибутива нет. Каждый ставит то, что ему нравится. Кто хочет LTS, ставит Debian, Scientific или Fedora; кто хочет актуальности — ставит генту; кто хочет стабильности — слаку какую-нибудь…
В общем, вся прелесть дистрибутивов линукс в том, что их много!
А «тоталитаризм» сами знаете к чему приводит (плачевный пример мастдайки или огрызка известен).
В общем, вся прелесть дистрибутивов линукс в том, что их много!
А «тоталитаризм» сами знаете к чему приводит (плачевный пример мастдайки или огрызка известен).
Вы случайно зверьсиди раньше не использовали?
Примерно уже два года назад, я еще в школе учился, космонавт, проведший две экспедиции на МКС, приходил к нам и рассказывал о жизни в космосе. Так как у меня был класс с IT уклоном, то и вопросы были соответствующие. Среди них, когда увидели фотографию ноутбука с Ubuntu, стали спрашивать про ОС — космонавт рассказал, что основные служебные операции проводят под Windows, а Linux (Ubuntu и Fedora) широко используется в основном на личных ноутбуках, но в том числе и некоторые расчеты, исследования проводятся при помощи Linux.
В частности, на одной фотографий, была запущена программа, считающая realtime траектории каких-то тел в космосе.
В частности, на одной фотографий, была запущена программа, считающая realtime траектории каких-то тел в космосе.
А как космонавта зовут? Не Марк ли? ;-)
Скворцов А.А.: http://goo.gl/9CVtA
На этой неделе: Как пропатчить МКС удаленно?
Зря, на Windows они могли гарантированно висеть на околоземной орбите.
Винт Сёрф, один из разработчиков TCP/IP уже несколько лет трудится вместе с группой коллег из НАСА над созданием Интернет-протокола для космоса…
Основа DTN – модель store-and-forward: пакеты хранятся на промежуточных узлах до тех пор, пока канал для их передачи не окажется открытым, и тогда уже автоматически пересылаются дальше в направлении адресата
Также нашёл много статей в журналах про него например эта
Первый раз читал об это ещё в журнале Chip в 2006ом наверное.
Интересно а Linux поддерживает DTN?
МКС на винде? был лучшего мнения о NASA.
Статью внимательно прочитали?
Неточно выразился, МКС был на винде, мне почему то казалось такой серьезный агрегат не должен работать на винде.
Дело в том что с самой МКС все нормально, на винде всего лишь ноуты астронавтов.
Верно, камень с души, я еще подумал, а если в корректировке орбиты лаганет?
Тупая статья с изначально халиварным содержанием. Не раскрыто что именно переведено на линукс, что выпилено нафиг и навечно. Как часто будет патчится система. Причины такого поступка ясны, но не совсем ясно чем их не устроила фря или наследники полуоси (видимо отсутствием вменяемых кадров в коллективе). Исходя из более раннего предложения становится понятно почему не написана своя ось.
Теперь к крикам «Ураа Линукс пошел в массы». Уважаемые оптимисты… даже серверная винда уже плавно переходит в направлении арм процов. В школах чхать хотели на андроид и юбуньту. У молодняка щас люмия в почете. Доля настольного линукса колеблется на уровне 0,000001 процент от мирового уровня. Боюсь вас обидеть… но толку от линукса на платформах отличных от «домашнего мегасупермегапупер шлюз-вебсервер работающий вечно»… мало. Ибо юзают его только либо нищие, либо те кто на нем вырос и не может нормально админить виндовые сервера. Давно пора свою ось писать. Только вот зомбирование гиков бывшего ссср прошло успешно… бабло взятое на эти нужды успешно потрачено на золотые унитазы для некоторых жоп… а норм кадров просто нет.
=) Так что прочитав эту новость нужно плакать.
Теперь к крикам «Ураа Линукс пошел в массы». Уважаемые оптимисты… даже серверная винда уже плавно переходит в направлении арм процов. В школах чхать хотели на андроид и юбуньту. У молодняка щас люмия в почете. Доля настольного линукса колеблется на уровне 0,000001 процент от мирового уровня. Боюсь вас обидеть… но толку от линукса на платформах отличных от «домашнего мегасупермегапупер шлюз-вебсервер работающий вечно»… мало. Ибо юзают его только либо нищие, либо те кто на нем вырос и не может нормально админить виндовые сервера. Давно пора свою ось писать. Только вот зомбирование гиков бывшего ссср прошло успешно… бабло взятое на эти нужды успешно потрачено на золотые унитазы для некоторых жоп… а норм кадров просто нет.
=) Так что прочитав эту новость нужно плакать.
Бедный МКС, за что же его так наказали…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
МКС переходит на Linux