Re: Hypersec Kernel ( Linux Kernel Patch )

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2001 ml@sikurezza.org
Soggetto: Re: Hypersec Kernel ( Linux Kernel Patch )
Mittente: Fabio Pietrosanti (naif)
Data: 3 Jul 2001 13:30:59 -0000

E' normale che questo tipo di patch aggiungano un po' di overhead sul sistema,
e che su sistemi sotto stress, cio' si fa' notare.

Ma che ci importa, mettiamo il finimondo il Load Balacing evvia' ;>

Ma non e' che ci si puo' fare molto... la sicurezza comporta scomodita' (
lo sviluppatore che chiede al sysadmin di cambiargli i permessi ogni 3 x 2 ),
comporta un appensantimento del sistema ( pensa a un daemon che deve
implementare ssl e quindi fare tutta la parte di cifratura, o a una attivita'
di logging pesante, o ancora controlli sulle chiamate exec(), fork() e altre ),
spesso introduce Point of Failure ( Se cade il firewall, ho tutto bloccato ),
ma non ci si puo' fare nulla, se non cercare di ottimizzare l'ottimizzabile.

Quando si lavora su sistemi sotto stress, e' necessario fare performance
tuning di qualsiasi cosa( backlog, numero file descriptor, etc) e bisogna quindi considerare,
come giustamente dici tu, anche l'impatto che queste patch hanno sulle
performance, considerando sempre che tipo di vantaggi ti portano.

Io credo che siano particolarmente utili su sistemi in cui ci sono molti
utenti ( pensa ai server delle universita' dove ci sono migliaia di account di
studenti che provano a fare di tutto ), e che per quanto riguarda il vantaggio
perdita performance/guadagno sicurezza sia un elemento che ogniuno deve
considerare e rapportare alla propria realta'.

Dopo questa manciata di byte scoordinati e incasinati da kobaiashi che fa'
BEEP su irc, credo che posso andarmi a prendere un caffe'.

Saluti
On Mon, Jul 02, 2001 at 11:10:29AM +0200, Federico wrote:
> Ho provato entrambe le patch, grsec la seguo da un pò.
> 
> Cmq scrivo questo reply per un altro motivo, ovvero:
> 
> Pensate sia giusto mettere in produzione server dall'elevato carico di
> lavoro con queste patch ?
> 
> A prescindere dall'appesantimento dei processi (controllo specifico su
> funzioni come fork() exec() etc. etc.) mi sento un pò restio perchè non
> vorrei mi penalizzasse la "stabilità" intrinseca del servizio.
> 
> che ne pensate? vale la pena rischiare? :-)
> 
> 

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks ! 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: licenza IPFilter, Fabio Pietrosanti (naif)
- successivo: Re: senza parole..., Fabio Pietrosanti (naif)
- indice

Argomento:
- precedente: Re: Hypersec Kernel ( Linux Kernel Patch ), Federico
- successivo: [stephen@fishnetsecurity.com: RE: Sizing Pentest], Fabio Pietrosanti (naif)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005