From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mithraen@altlinux.ru>
Date: Sun, 10 Sep 2006 03:36:12 +0400
From: =?koi8-r?B?5MXOydMg883J0s7P1w==?= <mithraen@altlinux.ru>
To: =?koi8-r?B?y9XM2NTV0s7ZyiDPxtTP0MnL?= <smoke-room@lists.altlinux.org>
Message-ID: <20060909233611.GB16064@localhost.localdomain>
References: <20060905203137.GA16522@localhost.localdomain>
	<20060907032226.1175b0b5@dhcppc0>
	<20060906224616.GA14121@localhost.localdomain>
	<20060907083518.754aeafe@dhcppc0>
	<20060908205611.GD21561@osdn.org.ua>
	<87mz9aj8ur.fsf@dd.farpost.com>
	<20060908234535.GA18966@localhost.localdomain>
	<8764fxmp6b.fsf@dd.farpost.com>
	<20060909155439.GC5650@localhost.localdomain>
	<87mz98lnl8.fsf@dd.farpost.com>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <87mz98lnl8.fsf@dd.farpost.com>
Subject: Re: [room] =?koi8-r?b?wsXaz9DB087P09TJ?=
X-BeenThere: smoke-room@lists.altlinux.org
X-Mailman-Version: 2.1.7
Precedence: list
Reply-To: =?koi8-r?b?y9XM2NTV0s7ZyiDPxtTP0MnL?= <smoke-room@lists.altlinux.org>
List-Id: =?koi8-r?b?y9XM2NTV0s7ZyiDPxtTP0MnL?= <smoke-room.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/smoke-room>,
	<mailto:smoke-room-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/smoke-room>
List-Post: <mailto:smoke-room@lists.altlinux.org>
List-Help: <mailto:smoke-room-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/smoke-room>,
	<mailto:smoke-room-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sat, 09 Sep 2006 23:36:15 -0000
Archived-At: <http://lore.altlinux.org/smoke-room/20060909233611.GB16064@localhost.localdomain/>
List-Archive: <http://lore.altlinux.org/smoke-room/>

On Sun, Sep 10, 2006 at 01:46:59AM +0400, Dmitry Derjavin wrote:

>> И вот с этой точки зрения Debian вообще не пригоден как
>> дистрибутив. Судя по тому что я читал -- Ubuntu по крайней мере
>> начали об этом задумываться.  А в ALT это "just works".
DD> Денис, давайте не бросаться словами. Вам ведь могут и поверить.
DD> Алексей чуть выше по треду предложил хороший эксперимент. Не нравится
DD> такой способ проверки устойчивости дистрибутива к взлому -- предложите
DD> свой. А не проверили, так нечего трепаться.

Для того чтобы сказать "вон в той двери замок, а в той его вообще нет" не
обязательно вызывать медевежатников и просить сломать. Достаточно просто
посмотреть, и увидеть что замка нет.

Так вот, есть целый комплекс средств обеспечения безопасности, которых в
Debian вообще нет. А в ALT есть из коробки.

А способов проверки на устойчивость ко взлому в настоящий момент попросту
нет. Вообще. Вернее есть, но они выявляют только лень сисадмина, который
не обновил софт. Увы, средств автоматического выявления _неизвестных_
уязвимостей нетути. А именно они представляют наибольшую угрозу, и именно
против них создано масса средств противодействия.

>> Потому я с куда более спокойным сердцем буду поднимать сервер на
>> произвольном снапшоте Сизифе, чем на Debian, или (простите за
>> нехорошее слово) Fedora.
DD> Хвастаться тут особо нечем.. У Debian и даже Fedora есть очень мощное,
DD> на мой взгляд, преимущество -- они предсказуемы. На них можно
DD> рассчитывать. Конечно, они не так прозрачны, как Owl или OpenBSD, но
DD> для них можно с достаточной степенью уверенности прогнозировать
DD> дальнейшее развитие событий. С ними можно (хоть) что-то планировать.
DD> Меня, как админа, пугает ситуация, когда неожиданно может выясниться,
DD> что входящий в дистрибутив пакет молча не поддерживается security
DD> team, так как по их мнению он крив и поддержки недостоин. А кто его
DD> включил в дистрибутив, тот пусть сам и поддерживает. И если вас, как
DD> админа, такая ситуация не пугает, то вы, извините, пугаете меня, как
DD> админ.

Все проще. Я четко знаю, что если в поле packager у пакета стоит ldv@, то
он поддерживается security team. Я также знаю, что если пакет серверный, и
packager у него mike@ -- этого также достаточно для уверенности в
поддержки. Собственно на моих серверах почему-то оказывается что ключевые
пакеты поддерживаются ldv@, mike@, lakostis@ и mithraen@ (я про Asterisk).

Я также знаю единственный критичный для многих пакет, который заведомо
_не_ поддерживается полноценно -- php.

Особенно с учетом того что я знаю что basesystem у нас практически
идентична с Owl, о чем можно дальше говорить?

А федора -- да, предсказуемо глючная. Потому как существует с одной
единственной целью -- бетатестирование дистрибутив на кошках, дабы
выпускать RHEL.

А Debian не устраивает ещё и чрезмерно большим циклом разработки, делающим
использование stable нереальным на десктопах. А как серверный непригоден я
уже объяснял почему.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
<drF_ckoff> The official Gentoo motto is, "If it moves, compile it."
<raorn> drF_ckoff: а если не moves, растолкай и compile