Удаление печати

Pivushkov Alexandr pav на icp.ac.ru
Ср Авг 24 11:21:19 UTC 2011 


Ivan Shmakov пишет:
>>>>>> Pivushkov Alexandr <pav на icp.ac.ru> writes:>>>>> Ivan Shmakov пишет:
> […]
>  >> На мой взгляд, лишняя программа — лишние уязвимости.  Если некое ПО >> не предполагается когда-либо использовать, то, конечно же, его >> следует удалить.
>  > Это верно, в случае, если программа запущена.
> 	Во-первых, конкретное ПО может запускаться по cron, событиям	udev, etc.  Не всегда из того, что процесс не запущен в данный	момент, следует то, что он не будет запущен никогда.
> 	Кроме того — шлюзы привилегий.  Некоторые пакеты полагаются на	исполняемые файлы с установленным битом SUID (SGID.)  Для	многопользовательской системы, уязвимость в такой программе	может представлять проблему.
 Это, опять же, верно, но только как "proof of concept" проблем
безопасности. Можете поверить на слово, не в каждой крупной кампании
учитывают такие уязвимости при построении модели угроз. И очень часто,
правда не всегда, это оправданный подход.
 Это я и имел в виду, когда писал "количество уязвимостей, для
настольной системы, стремиться к нулю."

> 	И опять же, могут быть дополнительные проблемы с обновлениями.	Пакет package можно отметить как hold, но его сосед, имеющий в	новой версии Recommends: package (>= 1.2.3), также не захочет	быть обновленным.
 В своей практике я практикую разумный подход к обновлениям. На десктопе
они отключены за не надобностью, за исключением 1 программы и то для
успокоения совести в основном. На сервере ручное устранение уязвимостей
и то не всех подряд.
 Конечно, это допустимо только конкретно сейчас для конкретного, моего,
окружения. Несколько лет - полет нормальный.
>  > Если нет, то количество уязвимостей, для настольной системы, > стремиться к нулю.  Про "следует удалить" я бы поостерегся, если нет > ну ооочень веских причин.  Бывало, что отключение "не нужных" служб в > одном месте, приводили к удивительным фокусам в других.  Я, вроде, > даже сообщал об этом в рассылке...
> 	Разумеется.  Но это также хороший повод внести отчет в BTS.
Что это?
-- 
- Пивушков Александр. Институт проблем химической физики. Черноголовка.

Подробная информация о списке рассылки ubuntu-ru