Οι χρήστες του Linux την Τρίτη έλαβαν μια μεγάλη δόση κακών ειδήσεων - μια ευπάθεια 12 ετών σε ένα εργαλείο συστήματος που ονομάζεται Polkit δίνει στους επιτιθέμενους απεριόριστα προνόμια root σε μηχανήματα που εκτελούν τις περισσότερες μεγάλες διανομές του λειτουργικού συστήματος ανοιχτού κώδικα.

Το Polkit, που προηγουμένως ονομαζόταν PolicyKit, διαχειρίζεται τα προνόμια σε επίπεδο συστήματος σε λειτουργικά συστήματα που μοιάζουν με Unix. Παρέχει έναν μηχανισμό για μη προνομιούχες διεργασίες να αλληλεπιδρούν με ασφάλεια με προνομιούχες διεργασίες. Επιτρέπει επίσης στους χρήστες να εκτελούν εντολές με υψηλά προνόμια χρησιμοποιώντας ένα στοιχείο που ονομάζεται pkexec, ακολουθούμενο από την εντολή.

Όπως τα περισσότερα λειτουργικά συστήματα, το Linux παρέχει μια ιεραρχία επιπέδων δικαιωμάτων που ελέγχει πότε και ποιες εφαρμογές ή χρήστες μπορούν να αλληλεπιδρούν με ευαίσθητους πόρους του συστήματος. Ο σχεδιασμός αυτός αποσκοπεί στον περιορισμό της ζημίας που μπορεί να συμβεί αν ένας χρήστης δεν είναι αξιόπιστος για να έχει διαχειριστικό έλεγχο ενός δικτύου ή αν η εφαρμογή είναι παραβιασμένη ή κακόβουλη.

Από το 2009, το pkexec περιείχε μια ευπάθεια διαφθοράς μνήμης την οποία μπορούν να εκμεταλλευτούν άτομα με περιορισμένο έλεγχο ενός ευάλωτου μηχανήματος για να κλιμακώσουν τα προνόμιά τους μέχρι την πρόσβαση σε root. Η εκμετάλλευση του ελαττώματος είναι ασήμαντη και, σύμφωνα με ορισμένους λογαριασμούς, 100 τοις εκατό αξιόπιστη. Οι επιτιθέμενοι που έχουν ήδη πρόσβαση σε ένα ευάλωτο μηχάνημα μπορούν να κάνουν κατάχρηση της ευπάθειας για να διασφαλίσουν ότι ένα κακόβουλο ωφέλιμο φορτίο ή μια εντολή εκτελείται με τα υψηλότερα διαθέσιμα δικαιώματα συστήματος. Το PwnKit, όπως αποκαλούν οι ερευνητές την ευπάθεια, είναι επίσης εκμεταλλεύσιμο ακόμη και αν δεν εκτελείται το ίδιο το δαίμονα Polkit.

Το PwnKit ανακαλύφθηκε από ερευνητές της εταιρείας ασφάλειας Qualys τον Νοέμβριο και αποκαλύφθηκε την Τρίτη, αφού επιδιορθώθηκε στις περισσότερες διανομές Linux. Το PwnKit εντοπίζεται ως CVE-2021-4034.

Οι μεγαλύτεροι διανομείς Linux έχουν κυκλοφορήσει επιδιορθώσεις για την ευπάθεια και οι επαγγελματίες ασφαλείας παροτρύνουν τους διαχειριστές να θέσουν ως προτεραιότητα την εγκατάσταση της επιδιόρθωσης. Όσοι δεν μπορούν να επιδιορθώσουν το patch άμεσα, θα πρέπει να χρησιμοποιήσουν την εντολή chmod 0755 /usr/bin/pkexec για να αφαιρέσουν το SUID-bit από το pkexec, το οποίο το εμποδίζει να εκτελείται ως root όταν εκτελείται από μη προνομιούχο χρήστη. Οι συμβουλές από το Debian, το Ubuntu και το Red Hat είναι εδώ, εδώ και εδώ.

Όσοι θέλουν να μάθουν αν η ευπάθεια έχει γίνει αντικείμενο εκμετάλλευσης στα συστήματά τους μπορούν να ελέγξουν για καταχωρήσεις στο αρχείο καταγραφής που λένε είτε "Η τιμή για τη μεταβλητή SHELL δεν βρέθηκε στο αρχείο /etc/shells" είτε "Η τιμή για τη μεταβλητή περιβάλλοντος [...] περιέχει ύποπτο περιεχόμενο". Η Qualys, ωστόσο, προειδοποίησε τον κόσμο ότι το PwnKit είναι επίσης εκμεταλλεύσιμο χωρίς να αφήνει ίχνη.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Arstechnica (https://arstechnica.com/information-technology/2022/01/a-bug-lurking-for-12-years-gives-attackers-root-on-every-major-linux-distro/)

Δεν ειμαι ειδικός αλλά τέτοια ευαίσθητα και καίρια κομμάτια του συστήματος δεν θα πρέπει να τα αναπτύσσουν και ελέγχουν ομάδες προγραμματιστων που θα διαθέσουν όλες οι κυρίες διανομές ώστε να αποφεύγονται, όσον είναι δυνατόν, τέτοια σημαντικά προβλήματα ασφάλειας;

Δεν ειμαι ειδικός αλλά τέτοια ευαίσθητα και καίρια κομμάτια του συστήματος δεν θα πρέπει να τα αναπτύσσουν και ελέγχουν ομάδες προγραμματιστων που θα διαθέσουν όλες οι κυρίες διανομές ώστε να αποφεύγονται, όσον είναι δυνατόν, τέτοια σημαντικά προβλήματα ασφάλειας;
Αν υπαρχει κεφαλαιο, τοτε ναι.
Αν δεν υπαρχει....

Αν υπαρχει κεφαλαιο, τοτε ναι.
Αν δεν υπαρχει....

Προφανώς και δεν είναι ερασιτέχνες αυτοί που τα γράφουν. Οι μεγάλες εταιρείες που με κάποιους τρόπους (συμβόλαια υποστήριξης από εταιρείες, εκδοχές των προγραμμάτων επί πληρωμή) βγάζουν χρήματα από το Linux, απασχολούν και αμείβουν την πλειοψηφία των προγραμματιστών που αναπτύσσουν το Linux! Διαφορετικά θα διαβάζαμε για προβλήματα ασφάλειας στο Linux κάθε μέρα. Ή μήπως δεν υπάρχουν προβλήματα ασφαλείας στα Windows ή στο Android ή στο MacOS, που αναπτύσσονται σαφώς από εταιρείες με τεράστια κεφάλαια;...

Προφανώς και δεν είναι ερασιτέχνες αυτοί που τα γράφουν. Οι μεγάλες εταιρείες που με κάποιους τρόπους (συμβόλαια υποστήριξης από εταιρείες, εκδοχές των προγραμμάτων επί πληρωμή) βγάζουν χρήματα από το Linux, απασχολούν και αμείβουν την πλειοψηφία των προγραμματιστών που αναπτύσσουν το Linux! Διαφορετικά θα διαβάζαμε για προβλήματα ασφάλειας στο Linux κάθε μέρα. Ή μήπως δεν υπάρχουν προβλήματα ασφαλείας στα Windows ή στο Android ή στο MacOS, που αναπτύσσονται σαφώς από εταιρείες με τεράστια κεφάλαια;...

Η διαφορά είναι στη συχνότητα και στην ταχυήτητα.
Όλα τα λογισμικά έχουν θέματα ασφαλείας.
Απλά αυτά με τα οποία ασχολούνται περισσότεροι έχουν περισσότερα, βρίσκονται πιο γρήγορα και επιδιορθώνονται ταχύτερα.
Και δεν είναι μόνο τα λεφτά.

Προφανώς και δεν είναι ερασιτέχνες αυτοί που τα γράφουν. Οι μεγάλες εταιρείες που με κάποιους τρόπους (συμβόλαια υποστήριξης από εταιρείες, εκδοχές των προγραμμάτων επί πληρωμή) βγάζουν χρήματα από το Linux, απασχολούν και αμείβουν την πλειοψηφία των προγραμματιστών που αναπτύσσουν το Linux! Διαφορετικά θα διαβάζαμε για προβλήματα ασφάλειας στο Linux κάθε μέρα. Ή μήπως δεν υπάρχουν προβλήματα ασφαλείας στα Windows ή στο Android ή στο MacOS, που αναπτύσσονται σαφώς από εταιρείες με τεράστια κεφάλαια;...

Απλά κάποιοι έλεγαν συνέχεια ότι το Linux δεν έχει προβλήματα ασφαλείας.

Απλά κάποιοι έλεγαν συνέχεια ότι το Linux δεν έχει προβλήματα ασφαλείας.


Αυτών δεν τους δίνει σημασία κανένας. Έχουν το κόμπλεξ της (τραγικά μικρής) μειοψηφίας.
Σημασία έχει οι σοβαροί linux χρήστες να προβληματιστούν για το μέλλον αυτού του λειτουργικού.
Και το μέλλον είναι α) να πέσουν χρήματα, β) να υπάρχει τεχνική υποστήριξη στους προγραμματιστές και γ) να φτιαχνονται προγράμματα και παιχνίδια εύκολα.

Και τα πανεπιστήμια να καταλάβουν ότι η πληροφορική δεν είναι πια να ξέρω τι έκανε το UNIX τη δεκαετία του 70.
Με τις τρέχουσες συνθήκες θα (συνεχίσει να) το τρώει η μαρμάγκα.

Αυτών δεν τους δίνει σημασία κανένας. Έχουν το κόμπλεξ της (τραγικά μικρής) μειοψηφίας.
Σημασία έχει οι σοβαροί linux χρήστες να προβληματιστούν για το μέλλον αυτού του λειτουργικού.
Και το μέλλον είναι α) να πέσουν χρήματα, β) να υπάρχει τεχνική υποστήριξη στους προγραμματιστές και γ) να φτιαχνονται προγράμματα και παιχνίδια εύκολα.
Με τις τρέχουσες συνθήκες θα (συνεχίσει να) το τρώει η μαρμάγκα.

Κανείς εκτός από σένα? :hmm:

Κανείς εκτός από σένα? :hmm:

Ναι ενδεχομένως μέχρι να φάνε ignore και εσύ είσαι ο επόμενος.

Ναι ενδεχομένως μέχρι να φάνε ignore και εσύ είσαι ο επόμενος.

Μην το κάνεις γιατί θα στεναχωρηθώ πολύ. :lol:

Το Linux δεν θα το φάει η μαρμάγκα ποτέ...Γιατί κρατάει το μεγαλύτερο μέρος των διακομιστών του Intenret..
Το Linux δεν είναι και δεν θα γίνει ποτέ ένα λειτουργικό για τον μέσο χρήστη που θέλει πατάω κουμπί->βγάινει χοντρή... Έχει διαφορετική νοοτροπία και προσανατολισμό.

Έχουν γνώση οι φύλακες (https://linuxsecurity.com/):whistle:

Σε gentoo πήρα ένα polkit update εχθές, φαντάζομαι αυτό ήταν.

Σε gentoo πήρα ένα polkit update εχθές, φαντάζομαι αυτό ήταν.

Όντως, κι εγώ την πήρα, ούτε που το πρόσεξα




Wed Jan 26 13:37:32 2022 >>> sys-auth/polkit-0.120-r2

Τρέχω να την περάσω και στον server...

Οκ, στον server δεν είναι περασμένο οτιδήποτε έχει να κάνει με polkit, οπότε όλα καλά :cool:

Όντως, κι εγώ την πήρα, ούτε που το πρόσεξα




Wed Jan 26 13:37:32 2022 >>> sys-auth/polkit-0.120-r2

Τρέχω να την περάσω και στον server...

Οκ, στον server δεν είναι περασμένο οτιδήποτε έχει να κάνει με polkit, οπότε όλα καλά :cool:

Φίλος ψάξου, ο tsigarid παραπάνω λέει φόρα παρτίδα ότι σου πήρε κάτι

:tooth:mrgreen:

Για όποιον δεν έχει πατσαριστεί ακόμα, το γρήγορο workaround είναι:

# chmod 0755 /usr/bin/pkexec

Προφανώς και δεν είναι ερασιτέχνες αυτοί που τα γράφουν. Οι μεγάλες εταιρείες που με κάποιους τρόπους (συμβόλαια υποστήριξης από εταιρείες, εκδοχές των προγραμμάτων επί πληρωμή) βγάζουν χρήματα από το Linux, απασχολούν και αμείβουν την πλειοψηφία των προγραμματιστών που αναπτύσσουν το Linux! Διαφορετικά θα διαβάζαμε για προβλήματα ασφάλειας στο Linux κάθε μέρα. Ή μήπως δεν υπάρχουν προβλήματα ασφαλείας στα Windows ή στο Android ή στο MacOS, που αναπτύσσονται σαφώς από εταιρείες με τεράστια κεφάλαια;...

Ας το παρουμε αλλιως.

Οσες πιο πολλες εργατοωρες (=χρημα) αφιερωσεις στην αναπτυξη και στη συντηρηση λογισμικου, θα εχεις και αντιστοιχο αποτελεσμα.
Απο μονες τους οι εργατοωρες δεν λενε ομως κατι, οσο πιο οργανωμενες και streamlined ειναι αυτες οι εργατοωρες (= ακομα περισσοτερο χρημα) τοτε το οφελος του αποτελεσματος μεγιστοποιειται.

Κι αυτο δεν ισχυει μονο στην αναπτυξη/συντηρηση λογισμικου, ισχυει παντου.

Ναι, υπαρχουν εταιριες που εκμεταλευονται κομματια του Linux προς εμπορικη εκμεταλευση και δινουν πισω στην κοινοτητα. Το κανουν ομως μονο για το κομματι που τους ενδιαφερει.
Ειναι αναμενομενο να υπαρχουν τρυπες που δεν τις εχει ανακαλυψει κανεις εδω και δεκαετιες, αν βαλεις ομως μηχανικους λογισμικου να συντηρησουν τον κωδικα απο την αρχη μεχρι το τελος, τοτε να εισαι σιγουρος οτι θα βρεις κι αλλα τετοια παραδειγματα.

Δεν καταλαβαίνω πάντως, γιατί μερικοί πέφτετε από τα σύννεφα. Η ουσία είναι ότι:


Όλα τα λογισμικά έχουν θέματα ασφαλείας.

Το ζήτημα είναι τα exploits να ανακαλύπτονται και να επιδιορθώνονται το συντομότερο δυνατό.

Ποιος έπεσε από τα σύννεφα?

Διάβασε από την αρχή το thread και θα δεις 2-3 τέτοια posts.

Αυτά να τα βλέπουν οι φανατικοί Linux-άδες που νομίζουν οτι επειδή κάτι είναι open source δεν μπορεί να έχει τέτοια προβλήματα γιατί "κάποιος θα το είχε δει". Τρίχες κατσαρές.
Προφανώς το linux είναι ενα σοβαρό και ασφαλές λειτουργικό αλλά εξίσου προφανώς δεν είναι τέλειο όπως νομίζουν τα fanboys.

Αυτά να τα βλέπουν οι φανατικοί Linux-άδες που νομίζουν οτι επειδή κάτι είναι open source δεν μπορεί να έχει τέτοια προβλήματα γιατί "κάποιος θα το είχε δει". Τρίχες κατσαρές.

Κάπου έχεις μπερδευτεί.

Το open source, σου προσφέρει διαφάνεια. Δεν σου λέει ότι είσαι 100% ασφαλής, σου λέει πως ΑΝ έχεις αμφιβολίες, ο κώδικας βρίσκεται εκεί για έσενα, τον άλλον, τον παράλλον να τον εξετάσετε.

Ναι, δεν είναι όλοι devs να διαβάζουν κώδικα, αλλά το open source, έχει πολύ καλύτερες πιθανότητες να είναι καθαρός κώδικας, απ'ότι η χ,ψ εφαρμογή που "καθαρίζει το σύστημα", που "κάνει αυτό που θέλεις με 1 click", κλπ.

ΥΓ. Κανείς δεν σε αναγκάζει να χρησιμοποιήσεις linux ή open source γενικότερα με το ζόρι. Ούτε έχει κανείς καημό να σε πείσει.

ΥΓ2. Που να δεις οι φανατικοί μηλαράδες τι λένε για το iOS, macOs. Θα σου πέσουν τα μαλλιά ;)

Κάπου έχεις μπερδευτεί.

Το open source, σου προσφέρει διαφάνεια. Δεν σου λέει ότι είσαι 100% ασφαλής, σου λέει πως ΑΝ έχεις αμφιβολίες, ο κώδικας βρίσκεται εκεί για έσενα, τον άλλον, τον παράλλον να τον εξετάσετε.

Ναι, δεν είναι όλοι devs να διαβάζουν κώδικα, αλλά το open source, έχει πολύ καλύτερες πιθανότητες να είναι καθαρός κώδικας, απ'ότι η χ,ψ εφαρμογή που "καθαρίζει το σύστημα", που "κάνει αυτό που θέλεις με 1 click", κλπ.

ΥΓ. Κανείς δεν σε αναγκάζει να χρησιμοποιήσεις linux ή open source γενικότερα με το ζόρι. Ούτε έχει κανείς καημό να σε πείσει.

ΥΓ2. Που να δεις οι φανατικοί μηλαράδες τι λένε για το iOS, macOs. Θα σου πέσουν τα μαλλιά ;)

Ναι αλλά τελικά φαίνεται πως κανένας δεν κάνει αυτον τον έλεγχο :p

Ναι αλλά τελικά φαίνεται πως κανένας δεν κάνει αυτον τον έλεγχο :p

Είδαμε και στις corps, πόσες τρύπες έχουν, παρά τις πληρωμένες εργατοώρες που δαπανούνται για να ελέγχουν το λογισμικό τους :p

Είδαμε και στις corps, πόσες τρύπες έχουν, παρά τις πληρωμένες εργατοώρες που δαπανούνται για να ελέγχουν το λογισμικό τους :p

Ναι αλλά για αυτές ξέρουμε οτι είναι τρύπια, όποτε και λαμβάνουμε μέτρα (av/firewall, etc) , το άλλο όπως λες και εσύ μπορείς να το ψάξεις, διαφάνεια, τελικά κανείς δεν το ψάχνει

Ναι αλλά για αυτές ξέρουμε οτι είναι τρύπια, όποτε και λαμβάνουμε μέτρα (av/firewall, etc) , το άλλο όπως λες και εσύ μπορείς να το ψάξεις, διαφάνεια, τελικά κανείς δεν το ψάχνει

Firewall χρησιμοποιείς και στο linux αν θέλεις (iptables, ufw, κλπ).

Το av δεν σε σώζει αν βρεθεί τρύπα που δεν έχει κλείσει και την εκμεταλλευτούν επιτήδειοι. Μόνο να αποτρέψει τον κώδικα να τρέξει θα μπορέσει το av.

Σε linux, τα τελευταία χρόνια, ελάχιστες ήταν οι περιπτώσεις σοβαρής ευπάθειας, πχ ssl heartbleed.

Προφανώς και θα υπάρχουν ευπάθειες, αλλά δεν αποτελούν χοντρή απειλή για τον απλό χρήστη.
Για servers κλπ, οκ, αλλά για τον απλό χρήστη που τρέχει κάποια διανομή, δεν αποτελεί πρόβλημα.

Το open source, πέρα απ'τη διαφάνεια, έχει και το άλλο καλό, του forking.

Πάρε πχ τον firefox. Έβαλε telemetry; So what; Έρχεται ένας τύπος και φτιάχνει τον waterfox, χωρίς telemetry.

Υπάρχουν υποψίες για ένα πρόγραμμα; Η κοινότητα θα δραστηριοποιηθεί και θα το ξεψαχνήσει, αν χρειαστεί.

Ναι, αν βάλεις μία εφαρμογή απ'τον χ,ψ άκυρο dev, μπορεί να την πατήσεις, αλλά ό,τι υπάρχει στα official repositories, είναι ελεγμένα κατά κύριο λόγο.

Όταν εγώ στήνω gentoo με επιλεγμένα πακέτα, πχ 800, εκ των οποίων τα μισά και παραπάνω είναι βιβλιοθήκες που χρησιμοποιούν και στους servers, ε, οι πιθανότητες να την πατήσω, είναι 1/400 ας πούμε. Not bad θα έλεγα.

Είδαμε και στις corps, πόσες τρύπες έχουν, παρά τις πληρωμένες εργατοώρες που δαπανούνται για να ελέγχουν το λογισμικό τους :p

Οι corps ομως εχουν το κεφαλαιο και τα resources για να στοχευσουν οπου θελουν - η κοινοτητα παλι οχι και τοσο.
Ειπαμε, το ανοιχτο λογισμικο εχει τα συν και τα πλην. Σιγουρα δεν εχει μονο συν.

Παιδιά local είναι το exploit.

Και εγώ αυτό κατάλαβα. Ευπάθεια που μπορεί να εκμεταλλευτεί απλός χρήστης για να φτάσει σε δικαιώματα root.

Αναφέρει όμως ότι μπορεί να συμβεί εύκολα privilege escalation αν υπάρχει ήδη κάτι μέσα. Θα μου πείτε οκ, αν υπάρχει ήδη έχουμε θέμα. Απλά θα γίνει η δουλειά πιο εύκολα.

- - - Updated - - -

Και κάτι έλεγε ότι μπορεί να μην αφήνει και trace. Δε ξέρω αν το διάβασα σωστά.

Προφανώς μόλις αποκτήσει κάποιος root, θα μπορεί να σβήσει τα ίχνη του.

Για να γίνει όμως εκμετάλλευση θα πρέπει να είναι ήδη σαν χρήστης μέσα στο σύστημα ώστε να μπορεί να κάνει login..Σωστά..?

Σωστά. Από την ανακοίνωση καταλαβαίνω ότι για να γίνει το exploit, πρέπει πρώτα κάποιος να έχει shell access απλού χρήστη.

Πέφτω από τα σύννεφα!!:twisted:
Το Linux δεν είναι το απόλυτο ασφαλές λειτουργικό μπλα μπλα μπλα :whistle::lol:

Υγ. Μπράβο στον κόσμο που ασχολείται με Linux και έτσι πρέπει να υπάρχουν και ανοιχτά λειτουργικά να μην είμαστε μονοπώλιο από 1-2 γνωστες εταιρείες... όμως για δεκαετίες ακούω ένα παραμύθι περί ασφαλειας το οποίο πρέπει σιγά σιγά να αναθεωρηθεί και εχώ προσωπικά και 2-3 καλους φίλους που ειλικρινά δεν άκουγαν καμία αντίθετη άποψη και τελικά αποδεικνύεται πως όσα χρόνια μας "πριζουν" περί ασφαλειας το συστημα μπάζει

ότι συνδέεται στο διαδίκτυο δεν είναι ασφαλές by default.
οπως το λέει και ο σοφός λαός... μυστικό που το ξερουν 2, Δεν είναι μυστικό!

Πωπω τρύπιο το linux τελικά. Να το κλείσουν το μαγαζί τι είναι αυτά. /s

-rwsr-xr-x 1 root root 41088 Ιαν 26 12:50 /usr/bin/pkexec*


- - - Updated - - -


Σωστά. Από την ανακοίνωση καταλαβαίνω ότι για να γίνει το exploit, πρέπει πρώτα κάποιος να έχει shell access απλού χρήστη.

:oneup:

Κάπου έχεις μπερδευτεί.

Το open source, σου προσφέρει διαφάνεια. Δεν σου λέει ότι είσαι 100% ασφαλής, σου λέει πως ΑΝ έχεις αμφιβολίες, ο κώδικας βρίσκεται εκεί για έσενα, τον άλλον, τον παράλλον να τον εξετάσετε.

Ναι, δεν είναι όλοι devs να διαβάζουν κώδικα, αλλά το open source, έχει πολύ καλύτερες πιθανότητες να είναι καθαρός κώδικας, απ'ότι η χ,ψ εφαρμογή που "καθαρίζει το σύστημα", που "κάνει αυτό που θέλεις με 1 click", κλπ.

ΥΓ. Κανείς δεν σε αναγκάζει να χρησιμοποιήσεις linux ή open source γενικότερα με το ζόρι. Ούτε έχει κανείς καημό να σε πείσει.

ΥΓ2. Που να δεις οι φανατικοί μηλαράδες τι λένε για το iOS, macOs. Θα σου πέσουν τα μαλλιά ;)

Οχι φίλε. ΚΑΘΟΛΟΥ δεν έχω μπερδευτεί. Αυτές τις μπούρδες λένε οι διάφοροι φανατικοί linux-άδες. Οτι επειδή είναι open source δεν έχει bugs και exploits. Δεν τα λέω εγώ, εκείνοι τα λένε.
Open source χρησιμοποιώ και δεν έχω κατι εναντίον του. Το αντίθετο, αν κάνει τη δουλειά που θέλω το προτιμώ.

Καλά για τους μηλαράδες τα έχω γράψει άπειρες φορές. Αυτοί είναι σε μια κατηγορία μόνοι τους. ;)

Οι πραγματικοί linuxades δεν λενε τετοιες μπουρδες περι 100 ασφαλείας. Οι wannabe ισως.

Αυτο με τους local χρηστες ειναι παραπλανητικό. Αν πχ μεσω php γινει exec system call θα ειναι ειτε σαν nobody ειτε σαν apache. Αξιοποιώντας το exploit εχει ξεπεραστεί το non root.
Υπάρχει και selinux βεβαια, φτάνει να ειναι enforcing.

Οι πραγματικοί linuxades δεν λενε τετοιες μπουρδες περι 100 ασφαλείας. Οι wannabe ισως.

Αυτο με τους local χρηστες ειναι παραπλανητικό. Αν πχ μεσω php γινει exec system call θα ειναι ειτε σαν nobody ειτε σαν apache. Αξιοποιώντας το exploit εχει ξεπεραστεί το non root.
Υπάρχει και selinux βεβαια, φτάνει να ειναι enforcing.

Αυτό ειναι μια πολυ σωστή άποψη.

Οχι φίλε. ΚΑΘΟΛΟΥ δεν έχω μπερδευτεί. Αυτές τις μπούρδες λένε οι διάφοροι φανατικοί linux-άδες. Οτι επειδή είναι open source δεν έχει bugs και exploits. Δεν τα λέω εγώ, εκείνοι τα λένε.
Open source χρησιμοποιώ και δεν έχω κατι εναντίον του. Το αντίθετο, αν κάνει τη δουλειά που θέλω το προτιμώ.

Καλά για τους μηλαράδες τα έχω γράψει άπειρες φορές. Αυτοί είναι σε μια κατηγορία μόνοι τους. ;)

Είπα εγώ ότι δεν έχει bug το open source; Είπα ότι δεν έχει exploits;

Πάλι μπερδεύτηκες και κράτα τα περί μπουρδολογίας και φανατισμού για άλλους. Δεν ξεκίνησα χθές στο linux. Χρησιμοποιώ 15 χρόνια linux και γνωρίζω πολύ καλά τι είναι και τι δεν είναι.

Άλλο το exploit και άλλο το να έχεις hidden malicious code μέσα στον κώδικα.

Εγώ μιλάω για το δεύτερο.

Exploits προφανώς και μπορεί να βρεθούν σε οποιοδήποτε κώδικα, σε οποιαδήποτε πλατφόρμα.

Στην πράξη, στο linux έχεις αρκετά καλές πιθανότητες να μην την πατήσεις. Βρες μου απτά παραδείγματα που του έχουν κρυπτογραφηθεί αρχεία σε χρήστη επειδή μπήκε σε περίεργο site, που του έχουν εγκαταστήσει keylogger επειδή άνοιξε μία εφαρμογή, κλπ.

Ναι, θα μπορούσε να συμβεί, αν κάποιος το έψαχνε πάρα πολύ και το έκανε στοχευμένα, αλλά αυτό δεν είναι κάτι το σύνηθες.

Αφού θεωρείς εσύ και οι υπόλοιποι ότι η φάση είναι πρόλογος και δεν υπάρχει ασφάλεια, μείνετε στα win με 15 av (γιατί όχι, βάλε πράμα), να έχετε το κεφάλι σας ήσυχο.

Εγώ μπορώ να ανοίξω το πιο ύποπτο site στο σύστημα μου χωρίς να ιδρώσει τ'αφτί μου ;) Απλά τα πράγματα.

To linux

Είναι 100% ασφαλές
Δεν έχει bugs
Ιδανικό για servers

Οποιος δεν τα πιστεύει να πάει να αγοράσει καινούργιο υπολογιστή
για να περάσει win11
εκτός κι αν θέλει να τα χακάρει
και να τα περάσει σε συστήματα μη συμβατά :)

Είπα εγώ ότι δεν έχει bug το open source; Είπα ότι δεν έχει exploits;

Πάλι μπερδεύτηκες και κράτα τα περί μπουρδολογίας και φανατισμού για άλλους. Δεν ξεκίνησα χθές στο linux. Χρησιμοποιώ 15 χρόνια linux και γνωρίζω πολύ καλά τι είναι και τι δεν είναι.

Άλλο το exploit και άλλο το να έχεις hidden malicious code μέσα στον κώδικα.

Εγώ μιλάω για το δεύτερο.

Exploits προφανώς και μπορεί να βρεθούν σε οποιοδήποτε κώδικα, σε οποιαδήποτε πλατφόρμα.

Στην πράξη, στο linux έχεις αρκετά καλές πιθανότητες να μην την πατήσεις. Βρες μου απτά παραδείγματα που του έχουν κρυπτογραφηθεί αρχεία σε χρήστη επειδή μπήκε σε περίεργο site, που του έχουν εγκαταστήσει keylogger επειδή άνοιξε μία εφαρμογή, κλπ.

Ναι, θα μπορούσε να συμβεί, αν κάποιος το έψαχνε πάρα πολύ και το έκανε στοχευμένα, αλλά αυτό δεν είναι κάτι το σύνηθες.

Αφού θεωρείς εσύ και οι υπόλοιποι ότι η φάση είναι πρόλογος και δεν υπάρχει ασφάλεια, μείνετε στα win με 15 av (γιατί όχι, βάλε πράμα), να έχετε το κεφάλι σας ήσυχο.

Εγώ μπορώ να ανοίξω το πιο ύποπτο site στο σύστημα μου χωρίς να ιδρώσει τ'αφτί μου ;) Απλά τα πράγματα.

Μου αρέσει που οι λινουξόπληκτοι καυχιούνται για την δήθεν ασφάλεια που έχουν. Ο σοβαρός χρήστης είναι πολύ προσεκτικός, κάνει backup και βασίζεται στο backup και στο ενημερωμένο software, όχι την αρχαιολογία που θέλει 12 χρόνια για να ενημερωθεί. Και εγώ χρησιμοποιώ Centos εκεί που πρέπει και δεν λέω μπούρδες του τύπου 'ανοίγω ότι γουστάρω' και δεν ιδρώνει το αυτί μου.

Σιγά ρε φίλε που θα ανοίξεις το πιο ύποπτο site χωρίς να ιδρώσει το αυτί σου. Ποιος είσαι μιλάμε; Μάλλον απλά η δουλειά σου είναι χομπίστας και όχι επαγγελματίας για αυτό και δεν θα ιδρώσεις, γιατί βασικά δεν έχεις και τίποτα να χάσεις εκτός από ένα απόγευμα. Γιατί βασικά όσοι έχουν linux desktop απλά έχουν μπόλικο χρόνο για χάσιμο πλέον, πάνε οι εποχές που βάζαμε το slackware και το redhat τη δεκαετία του 90 για να πουλήσουμε μούρη ότι κάτι ξέρουμε. Αυτά πέθαναν χωρίς επιστροφή. Ο κόσμος προχώρησε και το linux έχει μείνει στην ίδια απαρχαιωμένη λογική του 1990.

Στο linux πράγματι έχεις αρκετά καλές πιθανότητες να μην την πατήσεις γιατί κανείς δεν ασχολείται μαζί του σαν desktop. 40 χρόνια κολλημένο στο 2% market share από απελπισμένους αντι-windowsάδες. Και αυτό το φτύσιμο τους τρελαίνει αλλά δεν μπορούν και να κάνουν τίποτα.

Μου αρέσει που οι λινουξόπληκτοι καυχιούνται για την δήθεν ασφάλεια που έχουν. Ο σοβαρός χρήστης είναι πολύ προσεκτικός, κάνει backup και βασίζεται στο backup και στο ενημερωμένο software, όχι την αρχαιολογία που θέλει 12 χρόνια για να ενημερωθεί. Και εγώ χρησιμοποιώ Centos εκεί που πρέπει και δεν λέω μπούρδες του τύπου 'ανοίγω ότι γουστάρω' και δεν ιδρώνει το αυτί μου.

Σιγά ρε φίλε που θα ανοίξεις το πιο ύποπτο site χωρίς να ιδρώσει το αυτί σου. Ποιος είσαι μιλάμε; Μάλλον απλά η δουλειά σου είναι χομπίστας και όχι επαγγελματίας για αυτό και δεν θα ιδρώσεις, γιατί βασικά δεν έχεις και τίποτα να χάσεις εκτός από ένα απόγευμα. Γιατί βασικά όσοι έχουν linux desktop απλά έχουν μπόλικο χρόνο για χάσιμο πλέον, πάνε οι εποχές που βάζαμε το slackware και το redhat τη δεκαετία του 90 για να πουλήσουμε μούρη ότι κάτι ξέρουμε. Αυτά πέθαναν χωρίς επιστροφή. Ο κόσμος προχώρησε και το linux έχει μείνει στην ίδια απαρχαιωμένη λογική του 1990.

Στο linux πράγματι έχεις αρκετά καλές πιθανότητες να μην την πατήσεις γιατί κανείς δεν ασχολείται μαζί του σαν desktop. 40 χρόνια κολλημένο στο 2% market share από απελπισμένους αντι-windowsάδες. Και αυτό το φτύσιμο τους τρελαίνει αλλά δεν μπορούν και να κάνουν τίποτα.

Το χομπίστας είναι κάποιου είδους προσβολή; Γιατί εδώ μέσα πολλοί το πετάτε σαν να θέλετε να μειώσετε τον συνομιλητή. Καταλαβαίνεις πιστεύω πως δεν με αγγίζει τίποτα απ' όσα λες εσύ και οι υπόλοιποι.

Τρέξτε ότι γουστάρετε μάγκες. Εγώ δεν κρίνω. Εσείς κρίνετε ;)

Γιατί βασικά όσοι έχουν linux desktop απλά έχουν μπόλικο χρόνο για χάσιμο πλέον, πάνε οι εποχές που βάζαμε το slackware και το redhat τη δεκαετία του 90 για να πουλήσουμε μούρη ότι κάτι ξέρουμε. Αυτά πέθαναν χωρίς επιστροφή. Ο κόσμος προχώρησε και το linux έχει μείνει στην ίδια απαρχαιωμένη λογική του 1990.


Μήπως μπορείς να γίνεις λίγο πιο αναλυτικός σε αυτά; Σε τι όποιος έχει Linux desktop χάνει περισσότερο χρόνο; Σε ποια απαρχαιωμένη λογική έχει μείνει το Linux σε σχέση με τα Windows (υποθέτω ότι με αυτά συγκρίνεις);

Μου αρέσει που οι λινουξόπληκτοι καυχιούνται για την δήθεν ασφάλεια που έχουν. Ο σοβαρός χρήστης είναι πολύ προσεκτικός, κάνει backup και βασίζεται στο backup και στο ενημερωμένο software, όχι την αρχαιολογία που θέλει 12 χρόνια για να ενημερωθεί. Και εγώ χρησιμοποιώ Centos εκεί που πρέπει και δεν λέω μπούρδες του τύπου 'ανοίγω ότι γουστάρω' και δεν ιδρώνει το αυτί μου.

Σιγά ρε φίλε που θα ανοίξεις το πιο ύποπτο site χωρίς να ιδρώσει το αυτί σου. Ποιος είσαι μιλάμε; Μάλλον απλά η δουλειά σου είναι χομπίστας και όχι επαγγελματίας για αυτό και δεν θα ιδρώσεις, γιατί βασικά δεν έχεις και τίποτα να χάσεις εκτός από ένα απόγευμα. Γιατί βασικά όσοι έχουν linux desktop απλά έχουν μπόλικο χρόνο για χάσιμο πλέον, πάνε οι εποχές που βάζαμε το slackware και το redhat τη δεκαετία του 90 για να πουλήσουμε μούρη ότι κάτι ξέρουμε. Αυτά πέθαναν χωρίς επιστροφή. Ο κόσμος προχώρησε και το linux έχει μείνει στην ίδια απαρχαιωμένη λογική του 1990.

Στο linux πράγματι έχεις αρκετά καλές πιθανότητες να μην την πατήσεις γιατί κανείς δεν ασχολείται μαζί του σαν desktop. 40 χρόνια κολλημένο στο 2% market share από απελπισμένους αντι-windowsάδες. Και αυτό το φτύσιμο τους τρελαίνει αλλά δεν μπορούν και να κάνουν τίποτα.

Κάποιος άσχετος μπορεί να λέει τέτοια, όμως κάποιος που γνωρίζει μάλλον τα λέει γιατί έχει κάποιο συμφέρον.
Πες μας τώρα ποιο είναι αυτό;

Το Linux δεν θα το φάει η μαρμάγκα ποτέ...Γιατί κρατάει το μεγαλύτερο μέρος των διακομιστών του Intenret..
Το Linux δεν είναι και δεν θα γίνει ποτέ ένα λειτουργικό για τον μέσο χρήστη που θέλει πατάω κουμπί->βγάινει χοντρή... Έχει διαφορετική νοοτροπία και προσανατολισμό.

Απλά κάποιοι προσπαθούν να περάσουν αυτό (ότι το Linux είναι/θα γίνει ένα λειτουργικό για τον μέσο χρήστη που θέλει πατάω κουμπί->βγάινει χοντρή) και ότι και καλά δεν έχει προβλήματα ασφαλείας.

Οσες πιο πολλες εργατοωρες (=χρημα) αφιερωσεις στην αναπτυξη και στη συντηρηση λογισμικου, θα εχεις και αντιστοιχο αποτελεσμα.
Απο μονες τους οι εργατοωρες δεν λενε ομως κατι, οσο πιο οργανωμενες και streamlined ειναι αυτες οι εργατοωρες (= ακομα περισσοτερο χρημα) τοτε το οφελος του αποτελεσματος μεγιστοποιειται.

Κι αυτο δεν ισχυει μονο στην αναπτυξη/συντηρηση λογισμικου, ισχυει παντου.


Ναι αλλα η ποικιλια στα κινητρα και στην προσεγγιση αντι της streamlined ειναι και ατου. Δεν νομιζω οτι ειναι ασπρο ή μαυρο.

Ας το παρουμε αλλιως.

Οσες πιο πολλες εργατοωρες (=χρημα) αφιερωσεις στην αναπτυξη και στη συντηρηση λογισμικου, θα εχεις και αντιστοιχο αποτελεσμα.
Απο μονες τους οι εργατοωρες δεν λενε ομως κατι, οσο πιο οργανωμενες και streamlined ειναι αυτες οι εργατοωρες (= ακομα περισσοτερο χρημα) τοτε το οφελος του αποτελεσματος μεγιστοποιειται.

Κι αυτο δεν ισχυει μονο στην αναπτυξη/συντηρηση λογισμικου, ισχυει παντου.

Ναι, υπαρχουν εταιριες που εκμεταλευονται κομματια του Linux προς εμπορικη εκμεταλευση και δινουν πισω στην κοινοτητα. Το κανουν ομως μονο για το κομματι που τους ενδιαφερει.
Ειναι αναμενομενο να υπαρχουν τρυπες που δεν τις εχει ανακαλυψει κανεις εδω και δεκαετιες, αν βαλεις ομως μηχανικους λογισμικου να συντηρησουν τον κωδικα απο την αρχη μεχρι το τελος, τοτε να εισαι σιγουρος οτι θα βρεις κι αλλα τετοια παραδειγματα.

Είναι μύθος το ότι περισσότερες εργατοώρες σημαίνει και καλύτερο αποτέλεσμα.

Ειδικά στο λογισμικό η εξίσωση τίνει να είναι ανάποδη: Οι πιθανότητες για bugs αυξάνονται με τις εργατοώρες, όπως αυξάνεται και η πολυπλοκότητα του λογισμικού και φθίνει η ποιότητα.

Για να μη συμβούν τα παραπάνω, απαιτείται οι μηχανικοί να είναι αυθεντίες και πλήρως εξειδίκευμένοι σε συνάρτηση με ελευθερία στις παρεμβάσεις (δηλαδή να μην τους λέει κανείς project manager όχι).

Είναι ελάχιστα τα έργα που απολαμβάνουν τέτοιας μεταχείρισης, δυστυχώς.

Μου αρέσει που οι λινουξόπληκτοι καυχιούνται για την δήθεν ασφάλεια που έχουν. Ο σοβαρός χρήστης είναι πολύ προσεκτικός, κάνει backup και βασίζεται στο backup και στο ενημερωμένο software, όχι την αρχαιολογία που θέλει 12 χρόνια για να ενημερωθεί. Και εγώ χρησιμοποιώ Centos εκεί που πρέπει και δεν λέω μπούρδες του τύπου 'ανοίγω ότι γουστάρω' και δεν ιδρώνει το αυτί μου.

Τα τελευταια χρονια, δουλευω καθημερινα 5 λειτουργικα συστηματα.
Arch Linux, Windows (προσωπικο κι επαγγελματικο), MacOS (προσωπικο), iOS και Android.
Δεν θα αναφερω καν συσκευες χομπι, οπως raspberry pi που εκει οντως απλα πειραματιζομαι με Arch Linux ARM :)

Κανενα λειτουργικο δεν ειναι χασιμο χρονου, αναλογα για την χρηση που το προοριζεις.
Ισως ειναι χασιμο χρονου το να προσπαθησεις να παιξεις games σε Macbook M1, δεν ειναι χασιμο χρονου ομως για εναν content creator ή για εναν Data analyst.
Μια χαρα χρησεις εχουν τα GNU/Linux λειτουργικα, ναι ακομα και σε desktop μορφες (αν και δεν μπορω να φανταστω τη δουλεια μου χωρις MS Office, υπαρχουν ομως τομεις που εχουν εφαρμογες).
Το οτι εσυ δεν τις βλεπεις, δεν σημαινει οτι δεν υπαρχουν ;)

- - - Updated - - -


Είναι μύθος το ότι περισσότερες εργατοώρες σημαίνει και καλύτερο αποτέλεσμα.

Ειδικά στο λογισμικό η εξίσωση τίνει να είναι ανάποδη: Οι πιθανότητες για bugs αυξάνονται με τις εργατοώρες, όπως αυξάνεται και η πολυπλοκότητα του λογισμικού και φθίνει η ποιότητα.

Για να μη συμβούν τα παραπάνω, απαιτείται οι μηχανικοί να είναι αυθεντίες και πλήρως εξειδίκευμένοι σε συνάρτηση με ελευθερία στις παρεμβάσεις (δηλαδή να μην τους λέει κανείς project manager όχι).

Είναι ελάχιστα τα έργα που απολαμβάνουν τέτοιας μεταχείρισης, δυστυχώς.

Καθε αλλο - απο μονες τους οι εργατοωρες δεν λενε τιποτα.
Μπορει ενα open source project να εχει 10 ερασιτεχνες/χομπιστες να κανουν ακριβως το ιδιο πραγμα.
Πως εξασφαλιζεται οτι αυτο δεν θα συμβει;
(Το εχω δει αρκετες φορες σε startup εταιριες).

Streamlined εργατοωρες --> initiation, planning, execution, monitoring, closing, ακομα και για ενα μικρο fix ή και end-to-end testing του κωδικα.
Αυτο το μοντελο κοστιζει, αλλα εξασφαλιζει την μεγιστη ανταποδοτικοτητα της καθε εργατοωρας.

Και χάσιμο χρόνου να είναι τα linux-οδειδή, δικός μου δεν είναι να τον κάνω ότι θέλω; Κλέβω το...ρολόι κανενός και δεν το κατάλαβα;