From: Devrim GUNDUZ (devrim@gunduz.org)
Date: Fri 15 Apr 2005 - 02:35:16 EEST
Merhaba,
Son zamanlarda okuduðum en kaliteli yazýlardan bir tanesi idi, Eline
saðlýk...
Sevgiler, Devrim
On Fri, 15 Apr 2005, Erhan Ekici wrote:
> Merhabalar...
>
> Bilgi olmasi acisindan bazi sorulari dilim dondugunce cevaplayayim.
>
> Quoting Arda Cetin <arda@linux-sevenler.org>:
>
>
>> 1. Bu açıklamanın tam olarak kaynağı nedir ve nerededir?
> Bu aciklamanin kaynagi Veritest firmasidir.
> Arastirmanin basligi ve ilgili baglanti bilgisi ise soyle:
>
> Microsoft Windows Server 2003 vs. Red Hat Enterprise Linux AS 3.0: IT
> Professionals Running a Production Environment (04/05)
> http://www.veritest.com/clients/reports/microsoft/
>
> Veritest firmasi test arastirmalari yapan bir firmadir. Musterileri arasinda
> Sun Microsystems, Oracle ve (bu yilin basinda eklendi) Novell firmalari vardir.
>
> Yalniz bu firmanin tamamen bagimsiz ve tarafsiz arastirmalar yaptigini soylemek
> pek dogru olmaz. Arastirma ucretini, arastirma veya testi isteyen firma oder.
> Boyle olunca da testin olcmesi gereken kriterleri kendi belirler. Ayrica test
> sonucu istedigi gibi cikmaz ise testin yayinlanmasini istememe hakkina da
> sahiptir.
>
>> 2. Araştırma hangi şartlarda yapılmıştır ve güvenlik testleri nasıl
>> gerçekleştirilmiştir?
>
> Arastima ve test iki asamadan olusmaktadir. proaktif ve reaktif diye
> niteleyebilecegimiz bu iki alanda Windows ve RHEL teste tabi tutulmustur.
> 18 Linux Sistem yoneticisi ve 18 Windows sistem yonetici kullanilmis , her iki
> test sonucu bulunan verilerin ortalamasi alinmis ve sonuclar belirlenmistir.
>
> Proaktif asamada update eksikleri bulunan, yama uygulanmamis, fakat calisir
> vaziyette olan sunucular(Eposta, Dosya/Yazici, ve arakatman sunuculari) sistem
> yoneticilerine verilmis ve bu sistemlerdeki eksikleri tamamlamalari, gerekli
> duzenlemeleri yapmalari istenmis. Windows yoneticileri kendi sunucularini 4.5
> saatte duzeltirken Linux sistem yoneticileri 5 saatte duzeltmislerdir.
>
> Burada belirtmekte fayda var (Sanirim Ali Erdinc Koroglu sormustu):
> Kulanilan sunucular HP ProLiant DL380 G3 sunucular yani RedHat Enterprise Linux
> 3.0 sertifikali sunucular.
> (Bkz: http://hardware.redhat.com/hcl/?pagename=details&hid=5257)
>
> Ayrica birinci asamada senaryo bazli bir yontem izlenmis:
> Sistem yoneticilerine Active Directory ve OpenLDAP kaynakli sorunlari
> duzeltmelerini gerektiren gorevler verilmis. Burada acik ara windows tarafi
> basarili olmus. Linux Sistem yoneticileri OpenLDAP ayarlarinda bayagi
> zorlanmislar. (O kadar zor olmasa gerek ama :))
>
>
>> 3. Testi yapılan sistemlerine ne gibi güvenlik saldırıları
>> yapılmıştır?
>
> Tum senaryo yukariaki gibi. Ayrica buradaki guvenlik tam anlamiyla
> anladigimizdan ziyade acik, yama gibi seylerin uygulanma (sistem yoneticileri
> tarafindan) suresi uzun olan guvensiz kabul edilebiliyor.
>
>> 4 Saldırıların tam olarak sonuçları nelerdir?
>> 5. Neden Redhat Enterprise Server 4 sürümü varken RHEL 3 sürümü
>> kullanılmıştır? Bu davranışta bir kasıt var mıdır?
>
> Kasit yoktur. Bu gibi senaryo ve arastirmalarda piyasada en cok payi olan
> versiyon/urun kullanilir. Standart prosedur boyledir.
>
>> 7. Bu konunun sizinle alakası nedir? Bu araştırmayı bu listede duyurma
>> sebebiniz nedir? Adı geçen şirketlerle herhangi bir alakanız var mı?
>
> Suclayici ifadelerden kacinmamiz gerektigi kanisindayim. Bu bir sorudur. Bilen
> aciklar, bilmeyen ogrenir.
>
>
> Bu arastirmadan cikarilacak sonuc "Arastirma sonuclari dogru olabilir" ama
> gozden kacirilmamasi gereken nokta bu ve benzeri arastirmalarda parayi veren
> firma testi istedigi acilardan ve bilesenlerden olusturur. Active Directory
> yonetimi ile OpenLDAP yonetimi ayni zorluk derecesinde degil. Bu teste zaman
> onemli bir etken. Ama tutup baska testler ayni sistemlere uygulansa tahmin
> edilir ki Linux sistemler guvenli cikar.
>
> Linux herseyde superdir, soyledir boyledir gibi dar, fanatik bakislardan ziyade
> gercegi gormek lazim. Amaciniz kolay kullanilabiir bir sistem ise
> tercihinşz degisebilir. Amaciniz Saglam (robust) bir sistem ise
> sececeginiz sistem yine degisir. Velhasil kelam olaylara/testlere hangi acidan
> bakildigi onemlidir.
>
> Bu firma boyle bakmis. Ha dogru mu bakmis peki? baktigi cervece sinirli oldugu
> icin sonuclarini sasirtici bulmadigimi kisisel gorusum olarak da eklemis
> olayim.
>
> Sevgiler,
>
>
> iyi calismalar,
> Erhan Ekici
>
>
>
>
>
-- Devrim GUNDUZ devrim~gunduz.org, devrim~PostgreSQL.org, devrim.gunduz~linux.org.tr http://www.tdmsoft.com http://www.gunduz.org
_______________________________________________
Linux-sohbet mailing list
Linux-sohbet@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sohbet