[FreeBSD] Lamer kerdes

[Szabados Jozsef]

On Mon, May 20, 2002 at 08:45:37PM +0200, Haraszti Gábor wrote:
> Kosz a valaszokat!

...

> 2.) Termeszetesen meg kell indokolnom, hogy
>     miert valasztok egy-egy megoldast! Foleg
>     banki ugyfeleink vannak. Ott nem lehet
>     melledumalni es fellengzoskodni! Ott le
>     kell irni azt is, hogy miert pont azt javaslod,
>     amit. Egyebkent ennek kene termeszetesnek
>     lennie! Nem annak, hogy mert csak, mert ehhez ertek,
>     mert semmi egyebet nem lattam eddig, mint azt sok
>     fiatal Linux guru-tol hallottam mar. Ja meg mindenre
>     jo, mint a Windows.

...

> 
> udv: Harasoft


Szia

Az en meglatasom szerint, a rendszer szintu kulonbsegek, hogy (ahogy
sokan mondtak) a *BSD az egy, es egesz, mig a linux az sok kis kulon.
Ez amig jatszik az ember, kiserletezik, addig nagyon jo, hogy azt csinal,
amit akar, de miutan sok gepet adminisztral gondban lesz. Pl. kijon uj
kernel, vagy kernelpeccs, lehet letolteni, forditani, sok gepen, stb.

A sokfele "biztonsagot novelo" kernelpeccs szinten jo dolog, pl. az openwallossal
letiltod a stack vegrehajtast, (mukodik intelen ;-?) a grsecurity az azt csinalja,
a hap, az amazt, aztan lehet egymashoz faragni, az egyik 2.2.12-vel megy, a masik
az 2.2.13, 3-as peccsel, a harmadik az 2.4.12-vel, meg mittudomen. A hangkartya
gyarto altal adott meg a 2.4.2-essel.....

A FreeBSD-ben sokminden benne van, ami linux melle szerintem csak peccselt kernellel
erheto el. Pl. securelevel futasi szint (man init), chflags (olyasmi, mint az attr (?)
linuxon, csak adott securelevel felett nem lehet rootkent sem bizergelni, nativ
IPSec tamogatas a kernelben (bankok szeretik biztosan, vpn rulez;-), a linux
alatt mindenfele trukkozest kell csinalni, ha egy chrootolt kornyezetet szeretnel
biztonsagosabba tenni, FreeBSD-n van egy jail nevu kis cuccos, amit direkt
virtual gepkent terveztek, eleg durvan szabalyzott root jogokkal, (a kernelben
asszem 265 rendszerhivas van, amit csak root jogosultsagu processz hivhat meg,
jailen belul 35 mukodik ;-) igy pl. nem hozhat letre devicet, nem konfiguralhat
halozati interfeszt (ip cim, promisc mod, stb.), nem latja a jail-en kivuli processzeket,
nem tolthet be kernelmodult, es egy kazal hasznos ficsor. Pl. kellemes erzes volt
olvasni, hogy valami honeynetes ficko jailbe dugott cuccosokkal figyelte a rosszcsont
kivancsiskodokat ;-). Mukodik a noexec opcioval a mount.

(Egy kicsit messzebb, osszel, ha jol tudom jon az 5.0, acl lehetoseggel (linuxhoz szinten
peccs kell), meg egesz jo threadizalt kernellel, massziv smp tamogatassal...)

FreeBSD alatt van egy eleg jol hasznalhato alaprendszer (bin csomag az installnal),
amit ha frissiteni szeretnel, akkor egy par paranccsal frissitheted a rendszered.
Kezdve a forrasfa valtozasainak a leszedesetol, a forditason at az installig.
Az alaprendszer eleg jol elkulonul a csomagbol installalt programoktol, azok
a /usr/local alatt tanyaznak, mig ha jol emlekszek debian alatt nem volt ilyen.

Aztan valahogy nincsenek olyan durva keresztbe kasul-fuggesek, mint a linuxban,
pl. ott volt egyszer, hogy egy exim upgrade miatt vagy 25 csomagott kellet frissiteni,
mert eppen olyan volt a fugges.

A fejlesztes elegge szigoruan mukodik (szinten ahogy irtak), pl. szerintem nem
fog elofordulni, hogy a vm-et, vagy a packet filtering reszt a kernelbol egyik
verziorol a masikra lecserelik valami alig tesztelt valtozatra (ahogy Linus tette
a vm-et 2.4.10-rol asszem 11-re, meg a pf-et 2.2.19-rol 2.4.0-ra, de a verziokkal
nem vagyok teljesen kepben ;-)

Van egy sysynstall nevu admin felulet, de a vi jobb. Meg a boot managere is
jobbabb, mint a lilo (szvsz), mert uj kernel install utan nem kell futtatgatni,
hogy megtalalja a kernelt, es ha nem bootol a gep, akkor meg boot kernel.GENERIC,
es megy is. Igaz ez mar igencsak aprosag.

Meg biztos van meg egy kazal dolog, ami hirtelenben ki is ment a fejembol;-)

Aztan ha van meg valami, kerdezz batran,

udv,
Szabados Jozsef