From: Murat SULUHAN (murat.suluhan@tesam.com.tr)
Date: Fri 18 May 2001 - 09:27:47 EEST
Merhabalar
Enteresan bir yazi
Kurt Seifried amcam yazmis, www.olypos.org daki arkadaslar cevirmisler
Biraz uzun kusura bakmayin
--------------------------------
|
| Murat SULUHAN
| TE.SA.M. T.U.R.K. / GLOBALSTAR
|
--------------------------------
->
->
->
->Su bir gerçek ki Linux harika bir isletim sistemi. Birkaç makinamda Linux
->çalisiyor fakat anlatacagim bir kaç sebepten ötürü hiçbir zaman OpenBSD
->(birkaç makinamda da OpenBSD çalisiyor) kadar güvenli olmayacak. Linux,
->teknik, politik ve pazarlama sebepleri yüzünden hiçbir zaman OpenBSD kadar
->güvenli olamayacak. Linux ile OpenBSD arasindaki en belirgin
->farklardan biri
->OpenBSD`nin asiri derecede kod denetimi/incelemesi yaptigi. OpenBSD takimi
->sadece güvenlik için degil ayni zamanda da genel düzeltmeler için
->düzinelerce insani bu is için kullaniyor. OpenBSD`nin manuelleri bile daha
->açik ve düzgün yapilandirilmis. Bu da güvenligin çok proaktif bir sekli.
->OpenBSD pek çok problemi güvenlik konusu haline gelmeden
->düzeltiyor. Bu tip
->bir kod denetleme Linux dünyasinda yok ve belkide hiç olmayacak.
->Konustugum
->pek çok üretici firma Linux üreticilerinin OpenBSD den daha çok standart
->olarak sundugu paket olmasini gözardi ederek güvenlige yarim düzine insan
->(genelde dahada az) ayirmis durumda. Hem Linux hemde OpenBSD nin
->genis çapta
->(yüzlerce megabaytlik kaynak kodlarindan olusan) ana
->komponentleri (kernel,
->komut shell`leri, sistem araçlari vs) var. Bu kodlar üzerinde inceleme
->yapacak yeterlilikte yeteri kadar Linux programcisi yok. Zaten her üretici
->firma kendi sürümlerini fixlemek için yeterli sayida insan kiraliyor.
->Üretici firmalar kendi kod denetlemelerini yapsalarda bir problemle
->karsilasiyorlar: yazilimlarin bakimini yapan programcilar farkli veya
->kendilerine güvenlik düzeltmeleri gönderenlere karsi düsmanca bir
->tutumdalar. Bu yüzden orjinal yazilimin güvenli olmamasi gayet normal ve
->üretici firma da kendi yamalarini hazirlamak zorunda. Bu problem
->OpenBSD`yi
->daha az etkiliyor çünkü kendi kod tabanlarinin bakimini kendileri
->yapiyor ve
->bir sürü alanda birbirinden ayriliyor (ssh ve OpenSSH buna iyi bir örnek).
->Linux üreticileri tüm kodlarini kendileri denetlemek istese de bunu
->yapabilecek yeterli sayida Linux programcisi yok. Yani Linux üreticileri
->güvenli problemlerine karsi, yamalar çikarmaya ve yazilimin
->fixlenmis bir
->sonraki sürümünü çikarmaya ve kullanicilari saatlerce, günlerce ve hatta
->bazi durumlarda haftalarca bu açiga karsi korunmasiz birakmaya
->mahkumlar.
->Bu göründügünden daha önemli. Pitbull gibi ek güvenlik ürünleri ile bile
->saldirganin kernel`deki bir bug`dan yararlanip ek güvenlik çözümünü asmasi
->mümkün. Bu Pitbull for Solaris`de yasandi. Pitbull saglamdi.
->Solaris kerneli
->degildi. Genelde konusmak gerekirse ek güvenlik çözümleri sistemi tamamen
->koruyamaz. Örnegin eger bir güvenlik duvari isletim sisteminin TCP/IP
->stack`inin yerine kendi TCP/IP stack uygulamasini getirip kullanmazsa hala
->TCP/IP stack problemleri basa bela olacaktir.
->Sifreleme Yazilimlari
->
->Bu alan OpenBSD`nin Linux`a fark attigi bir alandir. OpenBSD
->sadece OpenSSL, OpenSSH, IPSec ve diger çesitli sifreleme ürünleri
içermekle kalmayip
->OpenSSH`in en büyük sorumlulugunu tasimaktadir. Pek çok Linux
->üretici firma OpenSSL ve OpenSSH ile geliyor fakat gelmeyenlerde (ör.
Caldera)
->var. Fakat hiçbir büyük Linux dagitimi IPSec destegi ile gelmiyor. Su
->siralar bir IPSec for Linux projesi var fakat kurulumu ve ayarlamasi çok
zor ve nerdeyse
->imkansiz (biliyorum, kullandim). Diger taraftan OpenBSD var olan en iyi
->IPSec uygulamalarindan biri ile geliyor. OpenBSD ayrica,
->FreeS/WAN in güçsüz
->oldugu bir alan olan kimlik tanilamada çesitli sekillerde destek
->ile farkli
->bir anahtar servisi sagliyor. Ek olarak Linux çalismalarinin çogu
->Amerika`da (Linux Torvalds artik orda yasiyor) yapildigi için kernel`de
->hemen hemen hiç kriptografik bir destek yok. Eger kripto eklemek
->istiyorsaniz kernel`i patch`lemeli ve tekrar insa etmelisiniz.
->Çok az sayida
->dagitim, ki eger var ise, (bir tanesinin bile varligindan
->haberdar degilim)
->IPSec destegi yada diger 'cryptographic hook' lara kernel destegi hazir
->olarak geliyor. Fakat çogu OpenSSL/OpenSSH veya diger kriptografik
->komponentlerle geliyor. OpenBSD Kanada`dan yapildigi için 'public
->domain' e
->çikisi (genelde OpenSource olarak adlandiriliyor) bir problem olmuyor ve
->size iyi bir destek sagliyor.
->
->
->
->Sifreleme Donanimi
->
->Yine OpenBSD`nin parladigi ve Linux`un tamamen eksik oldugu bir alan.
->OpenBSD çesitli sifreleme hizlandirici ürünlerini destekliyor ve örnek
->olara, çok güçlü (ve ucuz) IPSec aggeçitleri kurmaniza izin veriyor. Linux
->için bazi SSL hizlandirici donanimlar olsada bu zaten çözülmesi
->kolay (çogu
->web yük dengeleyicileri sifrelemeyi üzerine alip oturumlarin düzenli
->organize olmasini saglayabilir) bir problem. Benim bildigim
->kadariyla Linux
->için IPSec yapabilen hizlandirici donanim ürünleri mevcut degil.
->OpenBSD ise
->(ilerde problem olabilecegini gördügü için) ssh gibi sifrelemenin
->kullanildigi yazilimlari hizlandirmak için (telnet yerine ssh
->kullanan 1000
->kullanicili bir sisteme kaç CPU takmak zorunda kalabilirsiniz?)
->hizlandirici
->donanimlara yöneliyor. Ayrica OpenSSH2in genis dosya transferleri (sc ve
->sftp) destegide donanim hizlandiricilarina ihtiyaç duyacak.
->Sifrelem alaninda OpenBSD LInux`u yeniyor. linux`un destek
->kazanma sansi bir kaç sebepten ötürü az: Amerikan sifreleme ihraç
politikasi ve gerekli
->yetilere sahip programci azligi.
->Mutlu Müsteriler
->
->Linux üreticileri müsterileri mutlu etme konusuna özen gösteriyor. OpenBSD
->gelistiricileri göstermiyor. Linux pazari bir düzine 'büyük' dagitimci ve
->yine bir düzine ufak dagitimci ile oldukça rekabetçi bir ortam oldu. Büyük
->dagitimlarin hedef pazarlari genelde ayni, ev masaüstü kullanicilari,
->sirket/akademik masaüstü kullanicilari ve sirket/akademik sunucular. Hemen
->hemen her ticari üretici firma grafik kurulum programlari, Gnome
->ve KDE gibi
->masaüstü programlari ve diger kullanilabilirlik/eglence/üretim yazilimlari
->için büygk bir çaba sarfetti. Bunda kesinlikle yanlis birsey yok. Linux
->kullananlarin sayisi arttikça kurulumlar kolaylasacak ve kelime
->islemci gibi
->programlara ihtiyaç duyulacak. Linux üreticileri müsterilerini menun etmek
->için çesitli dagitimlar (türlü ek yazilimlari da içerdikleri için) birden
->fazla CD de geliyor. Fakat müsteriler güvenlikten sikayetçi, çok
->azi güvenli
->olan bir programi güvenli olmayan fakat çok özelligi olan bir programa
->degisiyor. Müsterilerin kabul edilebilir bir kismi paralarini neye
->yatircaklari konusunda duyarli davranmadikça üreticilerde
->degismeyecek.
->
->
->Varsayilan olarak güvenli
->
->OpenBSD 2.8`nin kurulum dosyalari (hepsi) 90mb tutuyor ve hersey
->kuruldugunda 200mb civarinda yere ihtiyaç duyuyor. OpenBSD kurulumunda
->varsayilan olarak aktif edilen seyler sadece gelistiricilerin güvenli
->oldugunu düsündükleri seyler. Örnegin, Telnet varsayilan olarak
->aktif degil
->ve OpenSSH aktif. Sendmail yerel 'queue' modunda çalisacak sekilde ayarli
->yani mail gönderebiliyor fakat alamiyor (alabilmesi için rc.conf da -bd
->seçenegini eklemelisiniz). OpenBSD web sayfasida bu konuda bir
->yazi var:
->
->Varsayilan kurulumla uzaktan hiçbir açik içermeyen 3. yil!
->
->Bu hiçbir Linux dagitimcisinin iddia edemeyecegi birsey. Tipik bir Linux
->kurulumu yarim düzine yada daha fazla ag servislerini baslatiyor ve bazi
->firmalar bunu gelistirmeyi düsünürken pek çogu destek harcamalari artsada,
->müsterileri hayal kirikligina ugratsa da bu konuda herhangi
->birsey yapmiyor.
->
->Özet
->
->Ilk önce insanlara nasil iyi program yazilacagini ögretmeliyiz.
->Sonra belki
->onlara nasil güvenli program yazilacagini ögretebiliriz. Sonra ya bu
->programcilar Linux üreticilerinin çikardigi dagitimlarin çogu bölümünü
->bastan yazacak yada var olanlari denetleyecek (her iki durumda
->yapilmayacakseyler gibi). Ki bu diger çözümlere baktigimizda imkansiz gibi
->görünüyor. ImmunixOS ve SELinux bu probleme ili çözüm ve kurulduklarinda,
->dogru bakim ve kullanim ile bayada yardimci oluyorlar. Fakat bu genis
->çaptaki Linux kullanicilarina bir yarar saglamiyor. Diger taraftan OpenBSD
->kullanicilarinin ellerinde çalismak için asiri derecede temiz ve güvenli
->(belirli sürelerde proaktif olarak denetlenen) kodlar var. Linux kendisine
->çok derin bir kuyu kazdi ve dahada hizlanarak asagiya dogru kazmaya devam
->edecek gibi.
->
->Konuyla ilgili linkler:
->
->http://www.openbsd.org/ - OpenBSD
->
->http://www.openbsd.org/security.html - OpenBSD güvenlik sayfasi
->
->http://www.openbsd.org/crypto.html - OpenBSD crypto sayfasi
->
->
->Olympos.org'dan alinmistir..
->
-- Binary/unsupported file stripped by Listar --
-- Type: application/octet-stream
-- File: Haberin devami...url
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------