Вопрос по общей безопасности системы в сравнении с Debian
- Автор темы АндрейZ
- Дата начала
*в сторону*
Вопросов на самом деле много:
Вопросов на самом деле много:
- что понимать под "безопаснее" и, главное, "в чьих руках"?
- чем "корпоративный" и богомерзкий systemd с позиции означенной "безопасности" принципиально отличается от не менее "корпоративных" Firefox, софта NVIDIA (которого так не хватает не на сервере, ага) и т.д.?
- какими словами возможно быстро и в полной мере выдать желающим исчерпывающую информацию по заложенным (и описанным в документации) принципам защитных механизмов, по реализованной (и расписанной в wiki) политике устранения уязвимостей, по действующим в стране правилами сертификации и сопровождения сертифицированного софта и средств защиты информации и по всем смежным темам?
- как при этом не дойти до классического...
ок, давайте остановимся на том, что под безопасностью я имел ввиду всего лишь использование компьютера дома. Мне (как и любому пользователю, разумеется) необходима уверенность в том, что мой компьютер не будет делать сомнительного характера действий, раскрывающих мли любые данные без моего ведома. Например, отправлять что-то на сервера microsoft (как это делает винда). Сертификация не требуется - это по-сути одно требование. Я решаю, что делает мой комп от А до Я. Все. Это реализовано сейчас?
Нет, давайте не будем использовать столь расплывчатые формулировки раз пошла такая пьянка и я все-таки влез в этот бессмысленный ликбез...
Разные юзеры к домашним машинам предъявляют разные требования безопасности. Причем радикально разные. И порой они по-жестче будут, чем в корпоративных сетях различных национальных достояний, ага...
Ваш компьютер - это не только и не столько операционная система. В текущих реалиях при означенных вами требованиях и именно для дома вам всегда придется искать компромисс между "фактической безопасностью (фактическим контролем)" и "доверием к используемым инструментам". Либо городить такой огород из мер защиты, который домашний бюджет вряд ли потянет (в угоду "Экономичности", опять-таки)...
Смысл Astra Linux Special Edition как раз в полной сертификации и куче защитных механизмов, которые дома наверняка будут отключены в угоду треугольника "безопасность - Функциональность - экономичность". И в угоду этого же треугольника, только с упором на "Экономичность", никто не будет покупать именно SE-редакцию (пока существует CE-редакция или куча альтернативных бесплатных дистрибутивов). А закачка SE-дистрибутива со всем известного трекера чревата самообманом как раз в части "безопасности", ага...
Так что должно быть реализовано-то?
Разные юзеры к домашним машинам предъявляют разные требования безопасности. Причем радикально разные. И порой они по-жестче будут, чем в корпоративных сетях различных национальных достояний, ага...
Ваш компьютер - это не только и не столько операционная система. В текущих реалиях при означенных вами требованиях и именно для дома вам всегда придется искать компромисс между "фактической безопасностью (фактическим контролем)" и "доверием к используемым инструментам". Либо городить такой огород из мер защиты, который домашний бюджет вряд ли потянет (в угоду "Экономичности", опять-таки)...
Смысл Astra Linux Special Edition как раз в полной сертификации и куче защитных механизмов, которые дома наверняка будут отключены в угоду треугольника "безопасность - Функциональность - экономичность". И в угоду этого же треугольника, только с упором на "Экономичность", никто не будет покупать именно SE-редакцию (пока существует CE-редакция или куча альтернативных бесплатных дистрибутивов). А закачка SE-дистрибутива со всем известного трекера чревата самообманом как раз в части "безопасности", ага...
Так что должно быть реализовано-то?
- Отсутствие телеметрии на уровне ОС? Да, только это не спасет от потенциальной утечки через прикладное ПО, особенно, полученное из источников, не относящихся к репозиторию производителя (а в репозитории его, как известно, маловато, и свежесть его для многих является камнем преткновения).
- Гарантии, что выставленные права доступа к тем или иным файлам нельзя обойти? Да, но только при учете юзания связки МКЦ+МРД, динамического контроля целостности, запрета исполняемых скриптов, запрета излишнего повышения привилегий и т.д., и т.п. (которые большинство местных форумчан даже не осилили прочесть в Руководстве, не то чтобы на практике использовать).
- Гарантии отсутствия уязвимостей, через которые можно обойти реализованные меры защиты? Да, но только при условии постоянного отслеживания оперативных обновлений (часть из которых предусматривает отказ от использования того или иного прикладного ПО)...
*в сторону*
Горстка людей на плывущем корабле - неужели они спасут мир? Спасут спасут... (с)
Важно не наличие уязвимости как таковой. imho, sudo rm -rf /* уже является принципиальной уязвимостью любой nix-системы. Ключевой вопрос в другом - кто/что, при каких условиях и как может эту уязвимость эксплуатировать? Защита любого объекта информатизации всегда полагается на два правила: "обнаружить и отсечь лишнее" и "контролировать нужное". А вот степени обнаружения, отсечения и контроля и критерии отнесения к "лишнему" уже определяются, исходя из множества факторов (ценность объекта и информации, критичность протекающих процессов, экономическая целесообразность и т.д.)...
Горстка людей на плывущем корабле - неужели они спасут мир? Спасут спасут... (с)
Важно не наличие уязвимости как таковой. imho, sudo rm -rf /* уже является принципиальной уязвимостью любой nix-системы. Ключевой вопрос в другом - кто/что, при каких условиях и как может эту уязвимость эксплуатировать? Защита любого объекта информатизации всегда полагается на два правила: "обнаружить и отсечь лишнее" и "контролировать нужное". А вот степени обнаружения, отсечения и контроля и критерии отнесения к "лишнему" уже определяются, исходя из множества факторов (ценность объекта и информации, критичность протекающих процессов, экономическая целесообразность и т.д.)...