[FreeBSD] Sparc ?

[Adam Szilveszter]

On Fri, Apr 13, 2001 at 08:06:14AM +0200, Ferenc Szentpetery wrote:
> Meg egy pici adalek a temahoz: az altalam felugyelt Enterprise jovo
> heten
> unnepli 1 eves ujrabootolas nelkuli mukodeset:
> bash-2.01$ uptime
>   7:41am  up 360 day(s),  1:14,  1 user,  load average: 0.06, 0.05, 0.05
<...>

Szia Feri!

Nincs semmi baj azzal, hogy veded... mindenkinek vannak ilyen, ha akarom
irracionalis viszonyulasai, ez tesz bennunket emberre, hogy a
meggyozodeseink, hiteink vegso alapja nem racionalis. (Anno meg Descartes
is eljutott idaig, amikor megprobalta felepiteni az ellentmondasmentes
racionalitas filozofiajat)

A Sol. szerintem se rossz, plane gondolom Sun hardveren (amibol sajnos
koltseg okokbol nem sok rohangal errefele...) miert lenne az? Es az
ingyenes binaris licensz szerintem nagyon jo otlet volt hogy minel tobben
kiprobaljak es megismerjek. (Mas kerdes, hogy nalam a $75 koltseg
csomagolasert es a mediaert nem fer bele az "ingyenes" fogalomba, de
mondjuk az image-ket is le lehet tolteni...)

Az egy bajom ha akarom az vele, hogy elegge ismert es szeleskoruen tesztelt
rendszer, ezert a biztonsagi problemak hamar kiderulnek (es
osszehasonlitoan is tobb, mint a tobbi proprietaris *nix eseten) mert amit
nem hasznalnak abban hibat se talal senki, ezek viszonylag szeles korben
ismertte is valnak ma mar (ld Bugtraq) de a javitasok tempoja meg sem
kozeliti az OpenSource OS-eket. Pl a hirhedt ntpd exploit vonatkozasaban
nemhogy patch de meg egy hang se volt a Suntol, annak ellenere, hogy
valoszinuleg mind az x86, mind a Sparc platformon erintett. Azt is tudom,
hogy ez miert van: mert ha tamogatast is adsz, akkor felelos vagy azert,
hogy az a patch mukodjon is es nem zavarhatja a rendszer mukodeset. Mig pl
phk nyugodtan elronthatja elsore es meg mindig raer kijavitani:-) (noha igy
is a FreeBSD volt a vilagrekorder, a -CURRENT-ben orakkal a bejelentes utan
bent volt a patch, meg ha az elso rossz is volt bizonyos szempontbol.)

Na most en mint r.g. (rendszergazda) nem tudnek aludni ugy, hogy tudom,
hogy a gepen hiba van de nem tudom kijavitani azonnal, mert meg nincs kesz
a patch a Sunnal. Akkor se, ha tudom (plane jogaszkent) hogy ezert nem
lehetek felelos. De akkor is. Lehet, hogy maximalista vagyok (biztonsag
kerdeseben biztosan, pl ha rajtam mulna, a telnet szerver mar reg a multe
lenne a koli szerveren, nalunk meg a hazon belul is mindenki ssh-t hasznal,
mert az ssh klienst a gepeken atneveztem telnet.exe-re:-) es ezert minden
esetleges betores pontosan egyel tobb annal, ami megengedheto. Egy (Linux
vagy) *BSD eseten konnyen vagyok, egy feltunes nelkuli pillanatban egy gyors
upgrade es minden mehet tovabb. Meg aznap. (Ezert lenne jo, ha a tobbi BSD
is rendelkezne olyan kafa kis mechanizmussal, ami annyira automatikus mint
a FreeBSD-s buildworld, meg persze olyan PXE tamogatassal, mert akkor meg
lehetne csinalni meg azt is, hogy egy kis moszerolassal elore elkeszuljenek
az uj image-k a hatterben egy kiszolgalo gepen, es aztan egy gyors reboot,
es maris minden szerver az uj image-t hasznalja... nagyobb kornyezetekben
kifejezetten jol jon. Miert buildworld? Mert pl ha a hibajavitas a libc
glob() funkciojaban van, akkor minden alkalmazast ujra kell forditani, ami
statikusan volt linkelve, a biztonsag kedveert. Tehat a teljes /bin, /sbin
mindenkeppen...) de ha csak egy gep is az, akkor is viszonylag gyorsan van
javitas es par ora mulva legkesobb mar vedve vagyunk. Ezt hianyolom az
osszes proprietaris UNIX-bol, csak mondjuk a Sol. es az IRIX kivetelevel a
tobbi eleg ritka hozza, hogy ne legyenek tul ismertek a lukak... arra, hogy
mi van, ha a hiba pentek du valik ismertte es ezert hetfoig a fu se no,
pedig hetvegen egy sima upgrade mehetett volna, meg gondolni is rossz...

Meg persze a masik: hogy a patchek egy resze fizetos! Ez felhuz. Tudom,
hogy a Sol. patchek egy resze ingyenes, de hogy ez mekkora reszet fedi le
pl a security javitasoknak, arrol csak spekulalni tudok. Erre azt szoktam
mondani, hogy miert lennek en koteles egy support szerzodest is kotni
egybol (drasztikusan megnovelve a koltsegeket) ha csak ezeket akarom? Majd
a kovetkezo verziot megveszem ha kell.

Ez az egesz modell meg a "klasszikus iskola" biztonsag felfogasara
emlekeztet, ami ugy a 80-as, 90-es evek elejen volt jellemzo, tehat
(hatasvadaszat!) meg a mult szazad maradvanya. Mert akkor meg tenyleg fel
lehetett tenni, hogy a biztonsagi hibakrol nem sokan ertesultek, hiszen
nagyon szepen titokban tartottak oket, nyilvanos levlistak se nagyon
voltak, es hogy az a par ember meg ugyis rajott volna magatol is.
(Errol a telefonos hoskorszakrol erdemes elolvasni BTW A "Underground:
Hacking, Madness and Obsession on the digital frontier" c. ausztral
konyvet, letoltheto a www.underground-book.com cimrol... ott vilagosan le
van irva, mekkora kincsnek szamitott akkor pl egy biztonsagi levlista
archivumat megszerezni... egyebkent nehany klasszikus BSD-s buggal is lehet
talalkozni:-)

Meg ma is van, aki hasonloan gondolkozik igaz mas okbol: ok azt gondoljak,
hogy hiaba van nyilvanos full disclosure, az "igazi" dolgok titokban
maradnak, es a foldalatti sotet geniuszok ugyis mindent meg tudnak torni
amit akarnak ugyhogy vegulis... de en azert ehhez nem zarkozom fel,
legalabbis az OpenSource eseteben nem...

Na mindegy, ha egyszer sor kerul arra az eluziv eloadasomra amivel idonkent
fenyegetozni szoktam, akkor abban erdemes lesz kiterni arra is, pl hogy
mennyiben jogszeru szerintem a security javitasokert meg penzt is kerni...
erdekes kerdes:-)

Es most vissza a tartasi es eletjaradeki szerzodes kulonos szabalyaihoz...

Udv:
Sz.
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: sziszi at bsd.hu *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *