|
|
Niye Linux asla OpenBSD kadar güvenli olamayacak?
|
|
|
Ana sayfa
Kütüphane
Ürün dokümanları
Kod
Şu bir gerçek ki Linux harika bir işletim sistemi. Birkaç makinamda Linux çalışıyor fakat anlatacağım bir kaç sebepten ötürü hiçbir zaman OpenBSD (birkaç makinamda da OpenBSD çalışıyor) kadar güvenli olmayacak. Linux, teknik, politik ve pazarlama sebepleri yüzünden hiçbir zaman OpenBSD kadar güvenli olamayacak. Linux ile OpenBSD arasındaki en belirgin farklardan biri OpenBSD`nin aşırı derecede kod denetimi/incelemesi yaptığı. OpenBSD takımı sadece güvenlik için değil aynı zamanda da genel düzeltmeler için düzinelerce insanı bu iş için kullanıyor. OpenBSD`nin manuelleri bile daha açık ve düzgün yapılandırılmış. Bu da güvenliğin çok proaktif bir şekli. OpenBSD pek çok problemi güvenlik konusu haline gelmeden düzeltiyor. Bu tip bir kod denetleme Linux dünyasında yok ve belkide hiç olmayacak. Konuştuğum pek çok üretici firma Linux üreticilerinin OpenBSD den daha çok standart olarak sunduğu paket olmasını gözardı ederek güvenliğe yarım düzine insan (genelde dahada az) ayırmış durumda. Hem Linux hemde OpenBSD nin geniş çapta (yüzlerce megabaytlık kaynak kodlarından oluşan) ana komponentleri (kernel, komut shell`leri, sistem araçları vs) var. Bu kodlar üzerinde inceleme yapacak yeterlilikte yeteri kadar Linux programcısı yok. Zaten her üretici firma kendi sürümlerini fixlemek için yeterli sayıda insan kiralıyor. Üretici firmalar kendi kod denetlemelerini yapsalarda bir problemle karşılaşıyorlar: yazılımların bakımını yapan programcılar farklı veya kendilerine güvenlik düzeltmeleri gönderenlere karşı düşmanca bir tutumdalar. Bu yüzden orjinal yazılımın güvenli olmaması gayet normal ve üretici firma da kendi yamalarını hazırlamak zorunda. Bu problem OpenBSD`yi daha az etkiliyor çünkü kendi kod tabanlarının bakımını kendileri yapıyor ve bir sürü alanda birbirinden ayrılıyor (ssh ve OpenSSH buna iyi bir örnek). Linux üreticileri tüm kodlarını kendileri denetlemek istese de bunu yapabilecek yeterli sayıda Linux programcısı yok. Yani Linux üreticileri güvenli problemlerine karşı, yamalar çıkarmaya ve yazılımın fixlenmiş bir sonraki sürümünü çıkarmaya ve kullanıcıları saatlerce, günlerce ve hatta bazı durumlarda haftalarca bu açığa karşı korunmasız bırakmaya mahkumlar.
Bu göründüğünden daha önemli. Pitbull gibi ek güvenlik ürünleri ile bile saldırganın kernel`deki bir bug`dan yararlanıp ek güvenlik çözümünü aşması mümkün. Bu Pitbull for Solaris`de yaşandı. Pitbull sağlamdı. Solaris kerneli değildi. Genelde konuşmak gerekirse ek güvenlik çözümleri sistemi tamamen koruyamaz. Örneğin eğer bir güvenlik duvarı işletim sisteminin TCP/IP stack`inin yerine kendi TCP/IP stack uygulamasını getirip kullanmazsa hala TCP/IP stack problemleri başa bela olacaktır.
Şifreleme Yazılımları
Bu alan OpenBSD`nin Linux`a fark attığı bir alandır. OpenBSD sadece OpenSSL, OpenSSH, IPSec ve diğer çeşitli şifreleme ürünleri içermekle kalmayıp OpenSSH`ın en büyük sorumluluğunu taşımaktadır. Pek çok Linux üretici firma OpenSSL ve OpenSSH ile geliyor fakat gelmeyenlerde (ör. Caldera) var. Fakat hiçbir büyük Linux dağıtımı IPSec desteği ile gelmiyor. Şu sıralar bir IPSec for Linux projesi var fakat kurulumu ve ayarlaması çok zor ve nerdeyse imkansız (biliyorum, kullandım). Diğer taraftan OpenBSD var olan en iyi IPSec uygulamalarından biri ile geliyor. OpenBSD ayrıca, FreeS/WAN ın güçsüz olduğu bir alan olan kimlik tanılamada çeşitli şekillerde destek ile farklı bir anahtar servisi sağlıyor. Ek olarak Linux çalışmalarının çoğu Amerika`da (Linux Torvalds artık orda yaşıyor) yapıldığı için kernel`de hemen hemen hiç kriptografik bir destek yok. Eğer kripto eklemek istiyorsanız kernel`i patch`lemeli ve tekrar inşa etmelisiniz. Çok az sayıda dağıtım, ki eğer var ise, (bir tanesinin bile varlığından haberdar değilim) IPSec desteği yada diğer 'cryptographic hook' lara kernel desteği hazır olarak geliyor. Fakat çoğu OpenSSL/OpenSSH veya diğer kriptografik komponentlerle geliyor. OpenBSD Kanada`dan yapıldığı için 'public domain' e çıkışı (genelde OpenSource olarak adlandırılıyor) bir problem olmuyor ve size iyi bir destek sağlıyor.
Şifreleme Donanımı
Yine OpenBSD`nin parladığı ve Linux`un tamamen eksik olduğu bir alan. OpenBSD çeşitli şifreleme hızlandırıcı ürünlerini destekliyor ve örnek olara, çok güçlü (ve ucuz) IPSec ağgeçitleri kurmanıza izin veriyor. Linux için bazı SSL hızlandırıcı donanımlar olsada bu zaten çözülmesi kolay (çoğu web yük dengeleyicileri şifrelemeyi üzerine alıp oturumların düzenli organize olmasını sağlayabilir) bir problem. Benim bildiğim kadarıyla Linux için IPSec yapabilen hızlandırıcı donanım ürünleri mevcut değil. OpenBSD ise (ilerde problem olabileceğini gördüğü için) ssh gibi şifrelemenin kullanıldığı yazılımları hızlandırmak için (telnet yerine ssh kullanan 1000 kullanıcılı bir sisteme kaç CPU takmak zorunda kalabilirsiniz?) hızlandırıcı donanımlara yöneliyor. Ayrıca OpenSSH2ın geniş dosya transferleri (sc ve sftp) desteğide donanım hızlandırıcılarına ihtiyaç duyacak.
Şifrelem alanında OpenBSD Lİnux`u yeniyor. linux`un destek kazanma şansı bir kaç sebepten ötürü az: Amerikan şifreleme ihraç politikası ve gerekli yetilere sahip programcı azlığı.
Mutlu Müşteriler
Linux üreticileri müşterileri mutlu etme konusuna özen gösteriyor. OpenBSD geliştiricileri göstermiyor. Linux pazarı bir düzine 'büyük' dağıtımcı ve yine bir düzine ufak dağıtımcı ile oldukça rekabetçi bir ortam oldu. Büyük dağıtımların hedef pazarları genelde aynı, ev masaüstü kullanıcıları, şirket/akademik masaüstü kullanıcıları ve şirket/akademik sunucular. Hemen hemen her ticari üretici firma grafik kurulum programları, Gnome ve KDE gibi masaüstü programları ve diğer kullanılabilirlik/eğlence/üretim yazılımları için büyğk bir çaba sarfetti. Bunda kesinlikle yanlış birşey yok. Linux kullananların sayısı arttıkça kurulumlar kolaylaşacak ve kelime işlemci gibi programlara ihtiyaç duyulacak. Linux üreticileri müşterilerini menun etmek için çeşitli dağıtımlar (türlü ek yazılımları da içerdikleri için) birden fazla CD de geliyor. Fakat müşteriler güvenlikten şikayetçi, çok azı güvenli olan bir programı güvenli olmayan fakat çok özelliği olan bir programa değişiyor. Müşterilerin kabul edilebilir bir kısmı paralarını neye yatırcakları konusunda duyarlı davranmadıkça üreticilerde değişmeyecek.
Varsayılan olarak güvenli
OpenBSD 2.8`nin kurulum dosyaları (hepsi) 90mb tutuyor ve herşey kurulduğunda 200mb civarında yere ihtiyaç duyuyor. OpenBSD kurulumunda varsayılan olarak aktif edilen şeyler sadece geliştiricilerin güvenli olduğunu düşündükleri şeyler. Örneğin, Telnet varsayılan olarak aktif değil ve OpenSSH aktif. Sendmail yerel 'queue' modunda çalışacak şekilde ayarlı yani mail gönderebiliyor fakat alamıyor (alabilmesi için rc.conf da -bd seçeneğini eklemelisiniz). OpenBSD web sayfasıda bu konuda bir yazı var:
Varsayılan kurulumla uzaktan hiçbir açık içermeyen 3. yıl!
Bu hiçbir Linux dağıtımcısının iddia edemeyeceği birşey. Tipik bir Linux kurulumu yarım düzine yada daha fazla ağ servislerini başlatıyor ve bazı firmalar bunu geliştirmeyi düşünürken pek çoğu destek harcamaları artsada, müşterileri hayal kırıklığına uğratsa da bu konuda herhangi birşey yapmıyor.
Özet
İlk önce insanlara nasıl iyi program yazılacağını öğretmeliyiz. Sonra belki onlara nasıl güvenli program yazılacağını öğretebiliriz. Sonra ya bu programcılar Linux üreticilerinin çıkardığı dağıtımların çoğu bölümünü baştan yazacak yada var olanları denetleyecek (her iki durumda yapılmayacakşeyler gibi). Ki bu diğer çözümlere baktığımızda imkansız gibi görünüyor. ImmunixOS ve SELinux bu probleme ili çözüm ve kurulduklarında, doğru bakım ve kullanım ile bayada yardımcı oluyorlar. Fakat bu geniş çaptaki Linux kullanıcılarına bir yarar sağlamıyor. Diğer taraftan OpenBSD kullanıcılarının ellerinde çalışmak için aşırı derecede temiz ve güvenli (belirli sürelerde proaktif olarak denetlenen) kodlar var. Linux kendisine çok derin bir kuyu kazdı ve dahada hızlanarak aşağıya doğru kazmaya devam edecek gibi.
Konuyla ilgili linkler:
http://www.openbsd.org/ - OpenBSD
http://www.openbsd.org/security.html - OpenBSD güvenlik sayfası
http://www.openbsd.org/crypto.html - OpenBSD crypto sayfası
Kurt Seifred |
|
|
|
