FreeBSD - درس في العيوب السيئة
FreeBSD - درس في العيوب المتواضعة
FreeBSD - درس في العيوب المتواضعة
آخر تحديث بتاريخ 23/06/2022. أرسل تعليقاتك / تصحيحاتك هنا
.
تسرد هذه الصفحة بعض التغييرات التي أجريها على تثبيت الفانيليا لـ FreeBSD لزيادة الأمان. يتم أيضًا تضمين بعض التعديلات لزيادة أداء الشبكة أو جعل الأمور أكثر صحة. يغطي فقط التغييرات الأساسية التي يمكن لمسؤول النظام إجراؤها على نظام قيد التشغيل.
يمكن أيضًا اعتباره تعليقًا على حالة الأمن في النظام الإيكولوجي لتطوير FreeBSD ، حيث يسلط الضوء على مقاومتهم القوية للتغيير وإحجامهم عن استبدال الفظاظة القديمة بالبدائل الحديثة. >
توضح صفحة أمان المشروع ما يلي:
تتعامل FreeBSD مع الأمان بجدية شديدة ويعمل مطوروها باستمرار لجعل نظام التشغيل آمنًا قدر الإمكان.
لكن هل هذا صحيح حقًا؟ دعنا نكتشف.
جدول المحتويات التغييرات في OpenSSH الارسال الخفي جدار الحماية المنافذ والحزم NTP sysctl.conf دوري مكتبة SSL / TLS تبديل أذونات rc.conf محمل .conf خيارات البناء إغلاق إضافة التغييرات في OpenSSH
تمتلك FreeBSD تاريخًا في اتخاذ خيارات "مثيرة للاهتمام" عندما يتعلق الأمر بإصدار OpenSSH الذي يتم تجميعه في النظام الأساسي ، وغالبًا ما يتعارض مع المنبع باسم الحفاظ على التوافق مع الإصدارات السابقة أو لتحقيق تحسينات ملحوظة في الأداء. يبدو أن تعطيل ميزات الأمان أو تجاهلها لصالح الأداء موضوع متكرر ، كما سنرى لاحقًا.
أنا مقتنع بأنه تم اتخاذ عدد من القرارات السيئة في هذا المجال. كمثال رئيسي ، أصروا على الاحتفاظ بمجموعة تصحيح HPN-SSH وتمكينها افتراضيًا لفترة طويلة.
قد تقول "حسنًا ، ما الخطأ في هذه التصحيحات؟"
رفعت OpenSSH حدود القناة بما يكفي لدعم اتصال جيجابت في جميع أنحاء البلاد دون تباطؤ منذ سنوات. بالنسبة لمعظم المستخدمين ، هذا يعني أن تصحيحات HPN معقدة بشكل غير ضروري مع فائدة قليلة أو معدومة. علاوة على ذلك ، قاموا في كثير من الأحيان بمنع FreeBSD من تحديث إصدار OpenSSH الخاص بهم بسبب HPN backporting وإعادة بناء مجموعة التصحيح اليدوي. عندما قامت FreeBSD أخيرًا بتعطيل HPN في إصدارات OpenSSH الخاصة بها ، بدا أن ذلك يرجع إلى إخفاقات البناء بدلاً من اعتبارات الأمان.
تم إسقاط دعم tcp_wrappers منذ فترة طويلة في المنبع OpenSSH ، ولكن FreeBSD أصلحه على أي حال ومكّنه للجميع.
كان الشيء نفسه بالنسبة لمفاتيح مضيف DSA الضعيفة ، والتي أعادت تمكينها للتوافق مع العملاء الأقدم.
أعادت FreeBSD أيضًا تمكين شفرات التشفير غير الآمن في إصدارها بعد أن تم تعطيلها في المراحل الأولى ، ويبدو أن التوافق مع الإصدارات السابقة هو أكثر أهمية بالنسبة لهم من أمان مستخدميهم.
إذا لم نستبعد تدريجيًا الخيارات غير الآمنة في مكان ما في النظام البيئي ، فسينتهي بنا الأمر بموقف مثل OpenSSL. يجب تطبيق الضغط في مكان ما. يمكننا أن نكون جزءًا من هذا الفريق ، أو يمكننا اللعب ضدهم. في هذه الحالة ، FreeBSD هو الفريق الذي يحاول ...
FreeBSD - درس في العيوب المتواضعة
آخر تحديث بتاريخ 23/06/2022. أرسل تعليقاتك / تصحيحاتك هنا
.
تسرد هذه الصفحة بعض التغييرات التي أجريها على تثبيت الفانيليا لـ FreeBSD لزيادة الأمان. يتم أيضًا تضمين بعض التعديلات لزيادة أداء الشبكة أو جعل الأمور أكثر صحة. يغطي فقط التغييرات الأساسية التي يمكن لمسؤول النظام إجراؤها على نظام قيد التشغيل.
يمكن أيضًا اعتباره تعليقًا على حالة الأمن في النظام الإيكولوجي لتطوير FreeBSD ، حيث يسلط الضوء على مقاومتهم القوية للتغيير وإحجامهم عن استبدال الفظاظة القديمة بالبدائل الحديثة. >
توضح صفحة أمان المشروع ما يلي:
تتعامل FreeBSD مع الأمان بجدية شديدة ويعمل مطوروها باستمرار لجعل نظام التشغيل آمنًا قدر الإمكان.
لكن هل هذا صحيح حقًا؟ دعنا نكتشف.
جدول المحتويات التغييرات في OpenSSH الارسال الخفي جدار الحماية المنافذ والحزم NTP sysctl.conf دوري مكتبة SSL / TLS تبديل أذونات rc.conf محمل .conf خيارات البناء إغلاق إضافة التغييرات في OpenSSH
تمتلك FreeBSD تاريخًا في اتخاذ خيارات "مثيرة للاهتمام" عندما يتعلق الأمر بإصدار OpenSSH الذي يتم تجميعه في النظام الأساسي ، وغالبًا ما يتعارض مع المنبع باسم الحفاظ على التوافق مع الإصدارات السابقة أو لتحقيق تحسينات ملحوظة في الأداء. يبدو أن تعطيل ميزات الأمان أو تجاهلها لصالح الأداء موضوع متكرر ، كما سنرى لاحقًا.
أنا مقتنع بأنه تم اتخاذ عدد من القرارات السيئة في هذا المجال. كمثال رئيسي ، أصروا على الاحتفاظ بمجموعة تصحيح HPN-SSH وتمكينها افتراضيًا لفترة طويلة.
قد تقول "حسنًا ، ما الخطأ في هذه التصحيحات؟"
رفعت OpenSSH حدود القناة بما يكفي لدعم اتصال جيجابت في جميع أنحاء البلاد دون تباطؤ منذ سنوات. بالنسبة لمعظم المستخدمين ، هذا يعني أن تصحيحات HPN معقدة بشكل غير ضروري مع فائدة قليلة أو معدومة. علاوة على ذلك ، قاموا في كثير من الأحيان بمنع FreeBSD من تحديث إصدار OpenSSH الخاص بهم بسبب HPN backporting وإعادة بناء مجموعة التصحيح اليدوي. عندما قامت FreeBSD أخيرًا بتعطيل HPN في إصدارات OpenSSH الخاصة بها ، بدا أن ذلك يرجع إلى إخفاقات البناء بدلاً من اعتبارات الأمان.
تم إسقاط دعم tcp_wrappers منذ فترة طويلة في المنبع OpenSSH ، ولكن FreeBSD أصلحه على أي حال ومكّنه للجميع.
كان الشيء نفسه بالنسبة لمفاتيح مضيف DSA الضعيفة ، والتي أعادت تمكينها للتوافق مع العملاء الأقدم.
أعادت FreeBSD أيضًا تمكين شفرات التشفير غير الآمن في إصدارها بعد أن تم تعطيلها في المراحل الأولى ، ويبدو أن التوافق مع الإصدارات السابقة هو أكثر أهمية بالنسبة لهم من أمان مستخدميهم.
إذا لم نستبعد تدريجيًا الخيارات غير الآمنة في مكان ما في النظام البيئي ، فسينتهي بنا الأمر بموقف مثل OpenSSL. يجب تطبيق الضغط في مكان ما. يمكننا أن نكون جزءًا من هذا الفريق ، أو يمكننا اللعب ضدهم. في هذه الحالة ، FreeBSD هو الفريق الذي يحاول ...
What's Your Reaction?
