¿Falta las funciones de seguridad de Debian?

Navega tus respuestas
0

Debian (estable) es una distribución de Linux de servidor muy respetada. Me sorprendió ver que en su tutorial de fortalecimiento ( enlace ) no admiten ejecutables independientes de posición (y ASLR y algunos otros útiles banderas de seguridad) en la última compilación estable (Wheezy), mientras que la mayoría de las otras distribuciones admiten estas cosas.

Dado que Debian stable ha pasado la prueba del tiempo, estoy pensando que debo haber asumido que estas características de seguridad son mucho más importantes de lo que realmente son en la práctica.

¿Alguien puede explicar por qué Debian puede escapar sin tener estas características de seguridad y, sin embargo, no ser hackeado a la edad de piedra todos los días?

    
pregunta Anthony Kraft 04.03.2014 - 09:19
fuente

2 respuestas

0

Yo diría que Debian se sale con la suya por varias razones.

  • La gente no sabe que existen estas funciones de seguridad y, por lo tanto, no las exige.
  • La gente espera que Debian esté seguro y no comprueba si realmente lo es.
  • Si sus paquetes están actualizados y están parchados en busca de vulnerabilidades, PIE y ASLR ayudan muy poco, excepto en contra de vulnerabilidades de 0 días.
  • La mayoría de las personas no se preocupan por la alta seguridad.

He estado usando Debian en mis servidores por más de 10 años y debido a esta falta de seguridad por parte de ellos (entre otras razones) estoy migrando a CentOS 7 cuando se publique en pocos meses.

    
respondido por el Matrix 05.03.2014 - 08:25
fuente
0

Hay algunos comentarios interesantes sobre la implementación de mitigaciones contra ataques que utilizan elementos como ASLR en sistemas operativos de Windows, OSX, GNU / Linux y los BSD de Theo De Raadt del proyecto OpenBSD, que puede encontrar aquí:

enlace

Para responder por qué Debian aún no los ha implementado, es un desafío colocar este tipo de cosas en sistemas que no se han creado para las mitigaciones en primer lugar, y no hacer que las cosas se rompan por todos lados sin un trabajo serio puesto en correcciones de código en general, de lo que recojo. Mi única suposición es que el equipo de Debian tiene sus prioridades dispersas en otros lugares. Hay algunos detalles más en la charla / diapositivas, podría tomarse el tiempo de editarlos más adelante si recuerdo que no debo estar fuera de la computadora y de camino al trabajo.

    
respondido por el Dmitri DB 05.03.2014 - 19:23
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es empaquetar una clave privada sin cifrar y un CSR en el certificado PKCS12? ¿Es razonable usar un proxy de seguridad cuando se integran dos aplicaciones web?