linux не безопасен, что вы думаете?

[Grem1in]

Доброго времени суток.
Переодически читаю темы про шифрование, vpn и про то какой linux безопасный. И вот возник у меня вопрос, кто контролирует мейнтейнеров и разработчиков? Способов их мотивации можно придумать много. Сейчас очевидно зайдёт речь о добром имени и репутации (хотя большинство из тех кто может скомпрометировать пакет безлики) и ни кто не пойдет на закладку, но это опять же вопрос мотивации и кроме того, на явную закладку да возможно а вот на закладку не явной уязвимости могут т.к. для того чтобы обвинить в преднамеренном внесении фичи которая имеет ценный для третьих лиц баг нужно иметь достаточно серьёзные доказательства. Но тут мне возразят что linux система с открытым исходным кодом и каждый может проверить что там, и тут снова возникает вопрос, а сколько пакетов вы лично проверили за последние лет 5? Вы уверены что вы настолько компетентны чтобы разглядеть не явный баг? Даже если так, то почему вы должны доверять комуто кто сказал что пакеты которые вы используете безопастны и почему люди должны доверять вашим заключениям?

[MrClon]

Да, GNU/Linux не безопасен. Используй Windows, он безопасен, на сайте MS сказано что это очень безопасная ОС.
Но, просто для ясности, о каком именно линуксе и каких именно пакетах речь?

Кстати в слове «мотивация» только одна буква «а».

[Grem1in]

Спасибо исправил, я не писал что есть безопасные ОС. Давайте возьмем для примера несколько распространеннёх: Debian, Ubuntu, CentOS. Пакеты любые (из официальных репо дистрибутива и RPMfusion, EPEL) т.к. потенциально любой пакет может быть установлен в любую систему, кроме того баг может порождаться как следствие работы нескольких утилит.

[Grem1in]

Это лишнее сообщение.

[azsx]

Grem1in для себя я решил так. Консольный линукс в стабильных дистрибутивах (дебиан и цент ос из ваших) в разы безопаснее (абсолютно безопасен на моем уровне), чем винда так как:
1. никс админы более грамотны в компьютерных технологиях. За их спиной значительно сложнее делать чо то на их компьютерах. Они вас спалят.
2. дебиан и цент ос стабле (не только их) очень часто ставят провайдеры и хостеры. А эти люди специально следят за логами, трафиком и прочей фигней. Если у этих людей массово потечет трафик на подсеть nsa.gov они в силу многочисленности сразу это вычислят и всем расскажут.
Таким образом если вы не терр или не ключевой менеджер газпрома - то линукс более чем безопасен.
Вот с программами впоне может быть беда. Например, у меня убунту, несколько графических окружений, куча софта, в том числе и не используемого, репозитории я подключаю бестрашно, отключаться от них не люблю. Безопасна ли моя убунта? Ну только в том плане, что я нафиг никому не нужен, чтобы из-за меня контору палить.
Кстати обратите внимание, кто бы чо не говорил, андроид - по сути линукс. И андроид не безопасен.

[Bizdelnick]

кто контролирует мейнтейнеров и разработчиков?

Друг друга они контролируют. Их слишком много, и у них слишком разные интересы, чтобы все вступили в сговор.

большинство из тех кто может скомпрометировать пакет безлики

Смотря в каком дистрибутиве. В Debian без подтверждения личности не пущают. Хотя в большинстве других, действительно, этого не требуют.

почему вы должны доверять комуто

Потому что нет выбора. Никому не доверять — значит делать всё самому. Самому писать ОС и прикладной софт, самому производить железо, на котором они должны работать... Вон Рутковская никому не доверяет, и что, добилась она полной безопасности? Да ни фига.
А если кому-то надо доверять, так уж лучше тем, чья работа у всех на виду.

[azsx]

В Debian без подтверждения личности не пущают.

а есть какой то список дистрибутивов, куда не пустят прогера без подтверждения личности (аналог дебиан короче)?

[s.xbatob]

В Debian без подтверждения личности не пущают.

а есть какой то список дистрибутивов, куда не пустят прогера без подтверждения личности (аналог дебиан короче)?

Какой ещё список??? Подобные списки предполагают наличие составителя, какой-то администрации: психдиспансера, гестапо, спортлото,.. - которым вы априорно доверяете. Сразу провокационный вопрос - а почему вы им доверяете?
И что касается Debian. Его основатель Ян Мёрдок, который недавно плохо кончил - это авторитет или нет?

[azsx]

Сразу провокационный вопрос - а почему вы им доверяете?

если верить тем кто показывает паспорт при вхде или тем, кто называет пароль в инете - то я больше верю тем, кто с паспортом. Но вот об этой верификации в дебиане, я раньше даже не знал.

Его основатель Ян Мёрдок, который недавно плохо кончил - это авторитет или нет?

то есть вы придерживаетесь версии самоубийства?

[s.xbatob]

azsx вы постоянно пытаетесь свернуть на тему "верю -- не верю". Это тупик.

[chitatel]

Linux не безопасен.

[Stauffenberg]

Спасибо исправил, я не писал что есть безопасные ОС. Давайте возьмем для примера несколько распространеннёх: Debian, Ubuntu, CentOS.

Эта одна и та же ОС. Бекдор или просто ошибка (одна) в какой-нибудь systemd или ядре, плоложит все эти "ОС".

почему вы должны доверять комуто кто сказал что пакеты которые вы используете безопастны

Вы не должны доверять кому-то. Вы можете доверять кому-то, если хотите.

Тео не верит никому. У него свои SMTP, NTP, SSH и т.д., включая ядро. И да, хоть и не должен, но лично ему (хоть я его и не знаю и общался с ним только в ML) доверяю. Еще доверяю ребятам, делающим CRUX.

И вот возник у меня вопрос, кто контролирует мейнтейнеров и разработчиков?

Другие разработчики. GNU безопасена хотя бы потому, что вокруг этого проекта собралось столько людей, что просунуть что-то левое очень не просто.
Возможно ли? Да, возможно. Например из 10 измененений в коде шаг за шагом создать один бекдор. Вероятность очень маленькая, что кто-то не поломает весь этот механизм пока Вы будете это делать
За один коммит готовенький бекдор, оформленный в виде отдельной фунцкии backdoor()... вряд ли прокатит

[SLEDopit]

И вот возник у меня вопрос, кто контролирует мейнтейнеров и разработчиков?

Мы уже обсуждали нечто подобное, помнится: Можно ли верить мейнтейнерам дистрибутивов? (:

[Bizdelnick]

Ну с тех пор в Debian вроде добились воспроизводимости и, соответственно, проверяемости сборок. Вот только не помню, для какого процента пакетов, но кажется уже очень большого.