Компутеры и околокомпутерные разговоры

Цитата: agt21 от 04.12.2008 20:52:04
Windows NT сертифицирована правительством США по уровню защиты C2.  

Это в которой RPC DCOM забиндили на 0.0.0.0 ? и это в HOME EDITION  >:( ?
Нахрена ?
И пофигу им были тонны бюллетеней по безопасности по старому доброму тезке - RPC от Sun.

Цитата: agt21 от 04.12.2008 20:52:04
Windows NT сертифицирована правительством США по уровню защиты C2. Очень немногие системы могут работать по более высокому уровню безопасности. Это требует использования ОЧЕНЬ специального софта. Кстати, обычный *unix без затенения пароля не соответствуют даже уровню безопасности C1.

Позволю себе процитировать:
Итак, год 1998-й. Некто Эд Карри, глава небольшой техасской фирмы Lone Star Evaluation Labs, специализирующейся на компьютерной безопасности, развернул весьма активную кампанию против корпорации Microsoft, по заказу которой прежде работал. Несмотря на несопоставимое, просто-таки комичное различие в соотношении противостоящих сил, обвинения Карри были услышаны и подхвачены прессой, благо повод выглядел достаточно серьезным. Суть обвинений сводилась к тому, что Министерство обороны и другие правительственные ведомства США нарушают свои же собственные правила, широко применяя крайне небезопасную операционную систему Windows NT. В Пентагоне на этот счет предпочли отмалчиваться, а в Microsoft попытались все свести к личным обидам Карри на бывшего работодателя.

Проблема же, вокруг которой разгорелся конфликт, - это сертификация NT на соответствие уровню C2. Ныне эта классификация уже устарела, а прежде уровень C2 был одним из базовых уровней безопасности компьютерных систем, присваиваемых при соответствии ряду надлежащих критериев, определенных в "Оранжевой книге" Агентства национальной безопасности США. Серьезные правительственные ведомства, такие как Пентагон, могли устанавливать у себя компьютерное обеспечение лишь при наличии у того сертификата не ниже C2.

Поскольку Эд Карри был серьезным экспертом по компьютерной безопасности, в прошлом военным человеком и специалистом, аттестованным АНБ, в 1994 г. Microsoft выбрала именно его для помощи компании в получении сертификата C2 на Windows NT 3.5. В ходе этих работ Карри разработал специальные диагностические средства и по просьбе Microsoft создал тестовую программу RAMP для оценки уровня соответствия критериям C2.

Вот тут-то и разгорелся конфликт, деликатные подробности которого так и остались тайной. Ясно лишь то, что тестовые средства эксперта упорно находили в NT массу трудноустранимых слабостей. Как результат, в 1995 году Microsoft разорвала контракт с Карри по причинам, "которые адвокаты компании рекомендовали не разглашать". В 1997 году Microsoft подрядила корпорацию Science Applications International (SAIC, с этой любопытной фирмой мы еще не раз встретимся далее) для продолжения работ по сертификации NT на C2. На одну из версий системы, уже к тому времени устаревшую 3.5, сертификат был-таки получен, а массовые закупки последующих, более современных версий NT (3.51, 4.0 и т.д.) обосновывались "скорым получением" соответствующего сертификата.

Ну а Эд Карри после потери контракта оказался фактически разорен, поскольку все средства вкладывал в разработку RAMP и ставшее никому ненужным тестирование. Тогда Карри и развернул кампанию, чтобы предупредить госадминистрацию и общественность в целом о "приобретении правительством миллионов копий несертифицированных версий Windows NT, которые не удовлетворяют критериям уровня C2 Министерства обороны и других агентств". К осени 1998 года он даже сумел добраться до высшего руководства Пентагона, написав лично министру обороны Уильяму Коэну. В этом письме говорилось, что его контракт по сертификации C2 был разорван Microsoft по той причине, что Карри отказался покрывать факты нарушения компанией базовых рекомендаций "Оранжевой книги": "Microsoft умышленно скрывает информацию о дырах в защите, опасаясь, что признание таких недочетов сократит количество копий, заказываемых правительством... Я поднимал эти вопросы на внутренних обсуждениях в Microsoft, а в результате стал объектом угроз и попыток подкупа". [MF98]

Пентагон откликнулся на это послание, и в октябре Эда Карри принял для беседы помощник министра обороны Дик Шэфер в компании с несколькими чинами из АНБ США. Никаких официальных решений после этой встречи не последовало, сам же Карри сообщил прессе лишь о своих впечатлениях от беседы: "Они знают, что я прав. И знают, что нарушают собственные правила безопасности. Но по сути дела, сказали они, все это неважно, и они будут продолжать использовать версию 4.0... Было сказано, что у них связаны руки, и в основном здесь решают деньги, а не соображения безопасности...". [JD99]

Ясно, что все эти объяснения совершенно не удовлетворили Карри, и он решает продолжить свою обличительную кампанию в прессе - однако в марте 1999 года скоропостижно умирает от сердечного приступа. И тут спустя несколько месяцев начинает происходить нечто необычное. Понятно, что более бить в набат стало некому, и текущие публикации прекратились, но одновременно в Интернете понемногу стали пропадать опубликованные прежде статьи об Эде Карри [cм. две предыдущие ссылки], само его имя в поисковых системах новостных сайтов, а также ссылки на соответствующие материалы в архивах. Наиболее ярко это было видно на примере веб-сайта журнала "Правительственные компьютерные новости" (Government Computer News, www.gcn.com), подразделения компании Washington Post. Осенью 1998 года там было опубликовано несколько заметок [GS98a, GS98b] обо всей этой истории, однако к сентябрю 1999 архив GCN (gcn.com/archives/) за предыдущий год представлял собой весьма странное зрелище: подборка всех выпусков с января по август, а затем - почему-то сразу за декабрь. Без каких-либо объяснений отсутствия номеров за осенние месяцы, когда был апофеоз скандальной истории с несговорчивым экспертом...

Подобный способ решения проблемы выглядел, конечно, чересчур вызывающе, поэтому впоследствии все ссылки на архивные номера GCN были вновь аккуратно восстановлены. Однако слова "Ed Curry" так и остались табуированным в поисковой системе сайта, так что поиски по имени вплоть до осени 2003 г. не приносили никаких результатов. Более того, аналогичный нулевой результат приносят и поиски любых публикаций репортера GCN Грегори Слабодкина, освещавшего не только этот, но и другие срамные эпизоды из богатой истории отношений Microsoft и Пентагона.

Летом все того же 1998 года, например, Слабодкин раскопал и опубликовал совсем неприличную историю о неприятностях ракетного крейсера ВМС США "Йорктаун". Это экспериментальный, так называемый "умный корабль" (smart ship), важнейшие системы жизнеобеспечения которого управляются компьютерами без участия человека. И что немаловажно - под руководством операционной системы Windows NT 4.0. Так вот, однажды вся эта махина, находясь в открытом море, на три без малого часа встала в полный ступор из-за наглухо зависшего программного обеспечения. Причем произошло это из-за совершенно пустяковой оплошности одного из операторов, занимавшегося калибровкой клапанов топливной системы и записавшего в какую-то из ячеек расчетной таблицы нулевое значение. Ну а далее пошла операция деления на этот самый нуль. С подобной ерундой справляется даже самый дешевый калькулятор, однако здесь в терминале оператора система дала ошибку переполнения памяти. Причем ошибка быстро перекинулась на другие компьютеры локальной сети корабля, началась цепная реакция, и по известному принципу домино рухнула вся бортовая система. Которую удалось восстановить и перезагрузить лишь через 2 часа 45 минут, в течение которых здоровенный боевой корабль оставался по сути дела беспомощен и неуправляем. [GS98c]

Когда это ЧП, которое почти год командованию флота удавалось скрывать, все же попало на страницы прессы, поднялся большой шум. Все недоумевали, почему военным кораблем управляет не заведомо более надежная ОС Unix, а Windows. Внятных ответов, правда, никто не дождался. А не в меру ретивый репортер Слабодкин вскоре перестал работать в "Правительственных компьютерных новостях". Как говорил один известный политик, нет человека - нет проблемы. Поэтому и многочисленные прежде публикации Слабодкина поисковая система сайта GCN ныне находить отказывается. Попутно, в точности по Оруэллу, скорректировано и прошлое "умного корабля" USS Yorktown - статьи про конфуз с упавшей операционной системой также не отыскиваются.

Почитайте на досуге "Гигабайты власти"

Цитата: agt21 от 04.12.2008 20:52:04Windows NT сертифицирована правительством США по уровню защиты C2. Очень немногие системы могут работать по более высокому уровню безопасности.

C2, как Вы наверняка помните - это то, что сразу следует за D (т.е. за теми системами, которые вообще не могут пройти никакую сертификацию по безопасности). Т.е. любая система, прошедшая сертификацию по определению как минимум не менее безопасна, чем NT...

Цитата: agt21 от 04.12.2008 20:52:04Кстати, обычный *unix без затенения пароля не соответствуют даже уровню безопасности C1.

1) Извиняюсь, а где/когда Вы последний раз видели *никс без шейдинга? Не знаю, как в пингвинятнике, но среди разнообразных берклевских веток и у солярки удавить шейдинг - это весьма некислый объём той самой "работы рубанком" (причём усугубляющийся тем, что в берклях шейдинг вообще-то по меньшей мере двухуровневый: кроме собственно шейдинга, т.е. соответствующих прав у пары passwd и master.passwd там для реальной аутентификации используются вообще-то соответствующие бинарные ...spwd.db, изменения в которые из соответствующих текстовых исходников могут быть перенесены исключительно процессом с UID=0 ... ). И это, ЕМНИП, стандарт уже лет минимум ...надцать как...
2) D переводе с "оранжевокнижного" на русский общепонятный это высказывание звучит следующим образом: "если долго насиловать какой-нить *nix, то можно добиться того, чтобы он не прошёл сертификацию на тот же класс, что и NT (прошедшая оную только с четвёртого захода)"... Против этого возразить, увы, нечего, ибо "если долго мучиться - что-нибудь получится" ((ц) Алла Борисовна ... ). Но сама постановка вопроса - хм-м... оригинальна...

Цитата: agt21 от 04.12.2008 20:52:04Системы с уровнями безопасности класса B (мандатная защита) являются достаточно редкими и не являются ОС общего назначения. Кстати они, очень часто, являются проприориентарными ОС...

Я плакаль... Вообще-то на В1 сертифицируется любая приборная/телекоммуникационная ОС, которая намеревается продаваться на рынке. Например, для DEC'а таковыми были VAX VMS (начиная с SEVMS 6.1 и выше), Alpha OS (впрочем, являющаяся клоном той же ВМСки, и отличающаяся весьма незначительно), ULTRIX (начиная с MLS+ V2.1), для Х@ева Паккарда - соответственно HP-UX (BLS Release 9.0.9 и выше), для Силикона - соответственно T-IRIX и T-IRIX/B начиная с 4.0.5EPL

В класс B2 - даже XENIX попадает (начиная с 4.0), а в "вызывающий законную гордость" у некрософта класс C2 попадает изрыгнутая DEC'ом в предсмертных корчах OpenVMS (как open - распространявшаяся в текстах, кстати... ) и ебиэмная OS/400 для AS/400 историко-революционного возраста..

Цитата: Мимохожий от 05.12.2008 00:34:13

Цитата
Windows NT сертифицирована правительством США по уровню защиты C2. Очень немногие системы могут работать по более высокому уровню безопасности.

C2, как Вы наверняка помните - это то, что сразу следует за D (т.е. за теми системами, которые вообще не могут пройти никакую сертификацию по безопасности). Т.е. любая система, прошедшая сертификацию по определению как минимум не менее безопасна, чем NT...

Немного не так: следом за D идет C1, а C2 - это то, что не дотягивает до уровня B1.

Цитата: Мимохожий от 05.12.2008 00:34:13

Цитата
Кстати, обычный *unix без затенения пароля не соответствуют даже уровню безопасности C1.

1) Извиняюсь, а где/когда Вы последний раз видели *никс без шейдинга? Не знаю, как в пингвинятнике, но среди разнообразных берклевских веток и у солярки удавить шейдинг - это весьма некислый объём той самой "работы рубанком" (причём усугубляющийся тем, что в берклях шейдинг вообще-то по меньшей мере двухуровневый: кроме собственно шейдинга, т.е. соответствующих прав у пары passwd и master.passwd там для реальной аутентификации используются вообще-то соответствующие бинарные ...spwd.db, изменения в которые из соответствующих текстовых исходников могут быть перенесены исключительно процессом с UID=0 ... ). И это, ЕМНИП, стандарт уже лет минимум ...надцать как...

Год или два назад во время установки одного из клонов RadHat, мне был предложен выбор - включать или нет "скрытые пароли" (правда "включить" было рекомендуемым выбором). ОС семейства BSD действительно гораздо более безопасно настроены по дефолту. Пингвины в этом отношении гораздо более безалаберны...

Цитата: Мимохожий от 05.12.2008 00:34:13

Цитата
Системы с уровнями безопасности класса B (мандатная защита) являются достаточно редкими и не являются ОС общего назначения. Кстати они, очень часто, являются проприориентарными ОС...

2) D переводе с "оранжевокнижного" на русский общепонятный это высказывание звучит следующим образом: "если долго насиловать какой-нить *nix, то можно добиться того, чтобы он не прошёл сертификацию на тот же класс, что и NT (прошедшая оную только с четвёртого захода)"... Против этого возразить, увы, нечего, ибо "если долго мучиться - что-нибудь получится" ((ц) Алла Борисовна ... ). Но сама постановка вопроса - хм-м... оригинальна...
Я плакаль... Вообще-то на В1 сертифицируется любая приборная/телекоммуникационная ОС, которая намеревается продаваться на рынке. Например, для DEC'а таковыми были VAX VMS (начиная с SEVMS 6.1 и выше), Alpha OS (впрочем, являющаяся клоном той же ВМСки, и отличающаяся весьма незначительно), ULTRIX (начиная с MLS+ V2.1), для Х@ева Паккарда - соответственно HP-UX (BLS Release 9.0.9 и выше), для Силикона - соответственно T-IRIX и T-IRIX/B начиная с 4.0.5EPL
В класс B2 - даже XENIX попадает (начиная с 4.0), а в "вызывающий законную гордость" у некрософта класс C2 попадает изрыгнутая DEC'ом в предсмертных корчах OpenVMS (как open - распространявшаяся в текстах, кстати... ) и ебиэмная OS/400 для AS/400 историко-революционного возраста..

Чтобы система соответствовала классу "B" нужна специальная, "безопасная" редакция системы, либо подключаемое специально (не по дефолту) ПО...

----------------------------------------------------
И все таки мы скатываемся в "религиозную войну" *nix vs Некрософт... Наверное я оказался более косноязычен, чем мне думалось...

Я еще раз обозначу тезисы, которые я защищаю, и предлагаю дисскутировать все-таки по их существу, а не по частностям:
1. Предмет дескуссии - безопасность ОС общего назначения на платформе х86. Другие платформы и специализированные ОС я лично не обсуждаю ввиду недостаточного уровня подготовки ...
2. Я считаю, что, не смотря ни на что, ОС семейства Windows NT обеспечивают (при ДОЛЖНОЙ настройке и установке соответствующего задачам дополнительного ПО) безопасность сопоставимую с оной на *nix'ах (при ДОЛЖНОЙ же настройке и наличии правильного ПО).
3. Выбор той или иной ОС не вызывает ФАТАЛЬНОГО, АПРИОРНОГО ухудшения безопасности системы.
4. Ключевым звеном обеспечения безопасности системы является человек, который осуществляет ее настройку. Его квалификация и мотивированность на качественную работу ФАТАЛЬНО и АПРИОРИ определяет уровень безопасности системы, независимо от выбора ОС.
5. Считаю, что в ОБЫЧНЫХ условиях уровень безопасности класса "С" вполне достаточен для безопасной работы.
6. Думаю, что уровень безопасности класса "В" необходим для высокозащищенных систем ОСОБОГО назначения.
7. Считаю, что возможно обеспечение уровня безопасности класса "В" даже на системах, использующих ОС семейства Windows NT, при использовании специализированного ПО.
8. Считаю, что наличие ПО, обеспечивающего уровень безопасности класса "В", не являтся 100% гарантией безопасности системы по этому классу (см.п.4).

Цитата: agt21 от 05.12.2008 09:05:29
Немного не так: следом за D идет C1, а C2 - это то, что не дотягивает до уровня B1.

Правильно... А теперь - следующий шаг. В 1992 г., ввиду полной невостребованности (не было ни одной попытки сертификации), а также ввиду простоты компрометации защиты "в нативной среде" класс С1 был исключен из MIL STD 5200.28 (точнее - не рекомендован к применению).

Цитата: agt21 от 05.12.2008 09:05:29Год или два назад во время установки одного из клонов RadHat, мне был предложен выбор - включать или нет "скрытые пароли" (правда "включить" было рекомендуемым выбором). ОС семейства BSD действительно гораздо более безопасно настроены по дефолту. Пингвины в этом отношении гораздо более безалаберны...

Скажем так... С тем, что пингвины более безалаберны - согласен. С тем, что среди них существуют версии. которые обрабатывались рубанком до полной потери потенции - тоже согласен. Не согласен с единственным: по их наличию невозможно судить о защищённости *никсов в целом. IMHO это примерно то же самое, что отказывать NTям в C2 на основе того, что они автоматом умеют монтировать партиции FAT, в которых какая-л. защита не предусмотрена чисто физиологически... Ну или как вариант - судить об общем уровне защищённости некрософта по уровню защищённости ДОСа 3.30 ...

Цитата: agt21 от 05.12.2008 09:05:29Чтобы система соответствовала классу "B" нужна специальная, "безопасная" редакция системы, либо подключаемое специально (не по дефолту) ПО...

Это не совсем так. Например, добрая половина DEC-овских систем имеет всё необходимое для В1 в дефолтной поставке. Аналогично - OS/400 и XENIX. А "подключаемым" софтом много не вылечишь, ибо если "дыра" в ядре/реализации ФС, то и закрывать её надо на том же уровне (т.е. пересборкой именно ядра, что в системах с закрытыми исходниками невозможно по определению).

Цитата: agt21 от 05.12.2008 09:05:29И все таки мы скатываемся в "религиозную войну" *nix vs Некрософт... Наверное я оказался более косноязычен, чем мне думалось...

Да нет, я бы сказал, что грядёт не холивар, а активное согласование терминологии/точек зрения...
Как Вы помните, первый мой пост в этой ветке содержал в себе утверждения, что а) "мамы всякие нужны, мамы всякие важны", и б) админ, ставящий на секретарскую машину что-л. кроме некрософта - изрядный мазохист....

Цитата: agt21 от 05.12.2008 09:05:29Я еще раз обозначу тезисы, которые я защищаю, и предлагаю дисскутировать все-таки по их существу, а не по частностям:
1. Предмет дескуссии - безопасность ОС общего назначения на платформе х86. Другие платформы и специализированные ОС я лично не обсуждаю ввиду недостаточного уровня подготовки ...

ОК, ограничение принимается.

Цитата: agt21 от 05.12.2008 09:05:292. Я считаю, что, не смотря ни на что, ОС семейства Windows NT обеспечивают (при ДОЛЖНОЙ настройке и установке соответствующего задачам дополнительного ПО) безопасность сопоставимую с оной на *nix'ах (при ДОЛЖНОЙ же настройке и наличии правильного ПО).

Не согласен категорически. Прочность цепочки = прочности её слабейшего звена. Посему какие бы заплатки на уровне пользовательских процессов Вы ни вешали - при кривом ядре они будут элементарно обойдены.

Цитата: agt21 от 05.12.2008 09:05:293. Выбор той или иной ОС не вызывает ФАТАЛЬНОГО, АПРИОРНОГО ухудшения безопасности системы.

Вызывает. См. предыдущий пункт.

Цитата: agt21 от 05.12.2008 09:05:294. Ключевым звеном обеспечения безопасности системы является человек, который осуществляет ее настройку. Его квалификация и мотивированность на качественную работу ФАТАЛЬНО и АПРИОРИ определяет уровень безопасности системы, независимо от выбора ОС.

Согласен, но с некоторыми уточнениями. Собсно ОС (идеология плюс свойства/комплектность конкретной сборки) определяет наивысший достижимый уровень безопасности, админ/установщик - реально достигнутый (который по определению всегда ниже).

Цитата: agt21 от 05.12.2008 09:05:295. Считаю, что в ОБЫЧНЫХ условиях уровень безопасности класса "С" вполне достаточен для безопасной работы.

При работе на изолированной машине вполне достаточен класс D, а остальное добирается ограничением физического доступа к ней админиистративными мерами.., При работе в качестве общедоступного сетевого терминала в "агрессивной" среде (например, какой-нить студенческий вычислительный практикум) - класс B крайне желателен. Так что определите "ОБЫЧНЫЕ условия" поточнее...

Цитата: agt21 от 05.12.2008 09:05:296. Думаю, что уровень безопасности класса "В" необходим для высокозащищенных систем ОСОБОГО назначения.

Это не так. Класс В по хорошему необходим как минимум на любой машине, поддерживающей инфраструктуру сети.

Цитата: agt21 от 05.12.2008 09:05:297. Считаю, что возможно обеспечение уровня безопасности класса "В" даже на системах, использующих ОС семейства Windows NT, при использовании специализированного ПО.
8. Считаю, что наличие ПО, обеспечивающего уровень безопасности класса "В", не являтся 100% гарантией безопасности системы по этому классу (см.п.4).

А вот тут у Вас "дыра" прям-таки гносеологическая. IMHO достаточно очевидно, что если "дыры" в безопасности существуют на уровне ядра/ФС/базовых систем аутентификации/системного планировщика - то любые "заплатки" пользовательского уровня в русскоязычной среде принято описывать весьма точным выражением "мёртвому припарки"... А безопасность систем, позволяющих даже разовое исполнение "левого" (пользовательского) кода (не говорю уже о перманентной инсталляции) на уровне ядра, я обсуждать вообще отказываюсь...

Цитата: Мимохожий от 05.12.2008 12:34:48

Цитата
Немного не так: следом за D идет C1, а C2 - это то, что не дотягивает до уровня B1.

Правильно... А теперь - следующий шаг. В 1992 г., ввиду полной невостребованности (не было ни одной попытки сертификации), а также ввиду простоты компрометации защиты "в нативной среде" класс С1 был исключен из MIL STD 5200.28 (точнее - не рекомендован к применению).

ОК.

Цитата: Мимохожий от 05.12.2008 12:34:48

Цитата
Год или два назад во время установки одного из клонов RadHat, мне был предложен выбор - включать или нет "скрытые пароли" (правда "включить" было рекомендуемым выбором). ОС семейства BSD действительно гораздо более безопасно настроены по дефолту. Пингвины в этом отношении гораздо более безалаберны...

Скажем так... С тем, что пингвины более безалаберны - согласен. С тем, что среди них существуют версии. которые обрабатывались рубанком до полной потери потенции - тоже согласен.

ОК.

Цитата: Мимохожий от 05.12.2008 12:34:48
Не согласен с единственным: по их наличию невозможно судить о защищённости *никсов в целом. IMHO это примерно то же самое, что отказывать NTям в C2 на основе того, что они автоматом умеют монтировать партиции FAT, в которых какая-л. защита не предусмотрена чисто физиологически... Ну или как вариант - судить об общем уровне защищённости некрософта по уровню защищённости ДОСа 3.30 ...

Собственно такого и не говорил. Просто привел пример в ответ на заданный вопрос... Посмотрите на исходный пост...

P.S. Не нравится мне, когда при сравнении WinNT* и *nix автоматом нивелируются различия между разними *nix'ами (например между *BSD и *Linux). Обычно мир *nix выставляется как нечто единое, не делая отличий между более защищенными и менее защищенными системами, а ведь они совершенно различны. У Win* нет настолько разноплановой линейки продуктов. Так что действительно, сравнение без конкретизации продуктов выглядит действительно некорректным...

Цитата: Мимохожий от 05.12.2008 12:34:48

Цитата
Чтобы система соответствовала классу "B" нужна специальная, "безопасная" редакция системы, либо подключаемое специально (не по дефолту) ПО...

Это не совсем так. Например, добрая половина DEC-овских систем имеет всё необходимое для В1 в дефолтной поставке. Аналогично - OS/400 и XENIX.

Ничего не скажу ... В соответствии с п.1 (ниже) ...

Цитата: Мимохожий от 05.12.2008 12:34:48
А "подключаемым" софтом много не вылечишь, ибо если "дыра" в ядре/реализации ФС, то и закрывать её надо на том же уровне (т.е. пересборкой именно ядра, что в системах с закрытыми исходниками невозможно по определению).

Собственно, если обращаться к началу дискуссии, для ФАПСИ WinNT является системой с открытым кодом... А для всех прочих... Действительно повысить уровень безопасности системы нельзя...

Цитата: Мимохожий от 05.12.2008 12:34:48

Цитата
И все таки мы скатываемся в "религиозную войну" *nix vs Некрософт... Наверное я оказался более косноязычен, чем мне думалось...

Да нет, я бы сказал, что грядёт не холивар, а активное согласование терминологии/точек зрения...
Как Вы помните, первый мой пост в этой ветке содержал в себе утверждения, что а) "мамы всякие нужны, мамы всякие важны", и б) админ, ставящий на секретарскую машину что-л. кроме некрософта - изрядный мазохист....

ОК

Цитата: Мимохожий от 05.12.2008 12:34:48

Цитата
Я еще раз обозначу тезисы, которые я защищаю, и предлагаю дисскутировать все-таки по их существу, а не по частностям:
1. Предмет дескуссии - безопасность ОС общего назначения на платформе х86. Другие платформы и специализированные ОС я лично не обсуждаю ввиду недостаточного уровня подготовки ...  

ОК, ограничение принимается.

Цитата
2. Я считаю, что, не смотря ни на что, ОС семейства Windows NT обеспечивают (при ДОЛЖНОЙ настройке и установке соответствующего задачам дополнительного ПО) безопасность сопоставимую с оной на *nix'ах (при ДОЛЖНОЙ же настройке и наличии правильного ПО).

Не согласен категорически. Прочность цепочки = прочности её слабейшего звена. Посему какие бы заплатки на уровне пользовательских процессов Вы ни вешали - при кривом ядре они будут элементарно обойдены.

Цитата
3. Выбор той или иной ОС не вызывает ФАТАЛЬНОГО, АПРИОРНОГО ухудшения безопасности системы.

Вызывает. См. предыдущий пункт.

Вообще-то я имел в виду не заплатки, а ПО, которого в стандартной поставке нет, например более нормальный (чем штатный) файерволл (скажем, ISA 200x)...

Цитата: Мимохожий от 05.12.2008 12:34:48

Цитата
4. Ключевым звеном обеспечения безопасности системы является человек, который осуществляет ее настройку. Его квалификация и мотивированность на качественную работу ФАТАЛЬНО и АПРИОРИ определяет уровень безопасности системы, независимо от выбора ОС.

Согласен, но с некоторыми уточнениями. Собсно ОС (идеология плюс свойства/комплектность конкретной сборки) определяет наивысший достижимый уровень безопасности, админ/установщик - реально достигнутый (который по определению всегда ниже).

Согласен.

Цитата: Мимохожий от 05.12.2008 12:34:48

Цитата
5. Считаю, что в ОБЫЧНЫХ условиях уровень безопасности класса "С" вполне достаточен для безопасной работы.

При работе на изолированной машине вполне достаточен класс D, а остальное добирается ограничением физического доступа к ней админиистративными мерами.., При работе в качестве общедоступного сетевого терминала в "агрессивной" среде (например, какой-нить студенческий вычислительный практикум) - класс B крайне желателен. Так что определите "ОБЫЧНЫЕ условия" поточнее...

Работа во внутренней Intranet-сети, доступ к Internet через шлюз с файерволлом и прокси-сервером. Стандартная оффисная работа.

Цитата: Мимохожий от 05.12.2008 12:34:48

Цитата
6. Думаю, что уровень безопасности класса "В" необходим для высокозащищенных систем ОСОБОГО назначения.

Это не так. Класс В по хорошему необходим как минимум на любой машине, поддерживающей инфраструктуру сети.

Как я понимаю, мандатное управление доступом - это просто более гибкая и разветвленная система прав доступа, менее зависящая от человеческого фактора... Честно говоря, я не очень хорошо понимаю какие особые преимущества она дает вне оперирования секретной документацией, кроме того, что она несколько облегчает жизнь администратору. Все то же самое как мне кажется можно сделать путем распределения обычных прав доступа... Возможно сложнее, возможно несколько более трудоемко, но все-таки возможно... Но вне системы в разной степени засекреченных электронных документов мне кажется она является избыточной.

Просветите если я что-то не очень хорошо понимаю...  ???

Цитата: Мимохожий от 05.12.2008 12:34:48

Цитата
7. Считаю, что возможно обеспечение уровня безопасности класса "В" даже на системах, использующих ОС семейства Windows NT, при использовании специализированного ПО.
8. Считаю, что наличие ПО, обеспечивающего уровень безопасности класса "В", не являтся 100% гарантией безопасности системы по этому классу (см.п.4).

А вот тут у Вас "дыра" прям-таки гносеологическая. IMHO достаточно очевидно, что если "дыры" в безопасности существуют на уровне ядра/ФС/базовых систем аутентификации/системного планировщика - то любые "заплатки" пользовательского уровня в русскоязычной среде принято описывать весьма точным выражением "мёртвому припарки"... А безопасность систем, позволяющих даже разовое исполнение "левого" (пользовательского) кода (не говорю уже о перманентной инсталляции) на уровне ядра, я обсуждать вообще отказываюсь...

Сорри, неправильно понял одну фразу в Wiki. Перечитал, вдумался, понял... Действительно п.7 - это бред...

А вот п.8 скорее просто перекликается с п.4 т.е. излишен.

P.S. Кажется я понял различие в установках - по-моему мы по-разному воспринимаем кривость ОС: я не рассматриваю криворукость кодировщиков (т.е. ошибки и уязвимиости в РЕАЛИЗАЦИИ архитектуры), расссматривая только криворукость проектантов. Вы же, как мне кажется, рассматриваете оба типа криворукости как нечто единое. Или я ошибся ?

Цитата: agt21 от 05.12.2008 16:42:51
P.S. Не нравится мне, когда при сравнении WinNT* и *nix автоматом нивелируются различия между разними *nix'ами (например между *BSD и *Linux). Обычно мир *nix выставляется как нечто единое, не делая отличий между более защищенными и менее защищенными системами, а ведь они совершенно различны. У Win* нет настолько разноплановой линейки продуктов. Так что действительно, сравнение без конкретизации продуктов выглядит действительно некорректным...

Невзирая на пингвинячий колхоз и бардак Linux всё таки Unix (почти) и открытый. Ошибки в ядре есть, но оне ловятся и исправляются (инда и по 3 шт. в сутки, был прецедент в мае прошлого года, ЕМНИП). За прошлый год во FreeBSD был один security patch. У мелкософта скока было? Для "устойчивого" XP? Тем более, что линейка у них сейчас одна - производные NT4, 95-98 и "линолеум" - всё.

Цитата...для ФАПСИ WinNT является системой с открытым кодом... А для всех прочих... Действительно повысить уровень безопасности системы нельзя...

О! Мы то не в ФАПСИ.

Цитата

Цитатаадмин, ставящий на секретарскую машину что-л. кроме некрософта - изрядный мазохист....

ОК

Ну вот "опять за рыбу гроши"... Мимохожий, Вы таки авторитет (и для меня), но Вы не правы, а другие соглашаются. Не долее как вчера поставил дома, для эксперимента, этакий "3 в 1". + Полный офисный набор. 20 минут. Интересно - напишу подробнее. Кстати, несколько знакомых, имеющих свои фирмы таки пересели с MSO на ОО и очень довольны. Глядишь, там и с винды слезут, деньги-то не лишние.

Цитата
Вообще-то я имел в виду не заплатки, а ПО, которого в стандартной поставке нет, например более нормальный (чем штатный) файерволл (скажем, ISA 200x)...

Не далее как на прошлой неделе сконфигурял клиенту BSD роутер+firewall+proxy. Админ прыгал от счастья и рыдался в жилетку про эту самую ИСУ. Кратко - очень много побочных эффектов + общая тупость системы. Кроме того это НЕ закрывает дыр в ядре.

Цитата
Как я понимаю, мандатное управление доступом - это просто более гибкая и разветвленная система прав доступа, менее зависящая от человеческого фактора... Честно говоря, я не очень хорошо понимаю какие особые преимущества она дает вне оперирования секретной документацией, кроме того, что она несколько облегчает жизнь администратору. Все то же самое как мне кажется можно сделать путем распределения обычных прав доступа... Возможно сложнее, возможно несколько более трудоемко, но все-таки возможно... Но вне системы в разной степени засекреченных электронных документов мне кажется она является избыточной.

...принудительный контроль доступа (Mandatory Access Control, MAC). Инфраструктура позволяет загружать новые модули контроля доступа, реализуя новые политики безопасности. Некоторые из них предоставляют защиту ключевых подсистем, защищая определенный сервис, в то время как другие предоставляют исчерпывающую систему безопасности с метками на всех субъектах и объектах. Контроль называется принудительным, поскольку применение контроля производится администраторами и системой, и не зависит от решения пользователей, как это происходит при обычном контроле доступа (Discretionary Access Control, DAC, стандартные файловые и System V IPC права...
Отсюда:  http://www.freebsd.o…k/mac.html

Цитата: agt21 от 05.12.2008 16:42:51
...
Как я понимаю, мандатное управление доступом - это просто более гибкая и разветвленная система прав доступа, менее зависящая от человеческого фактора... Честно говоря, я не очень хорошо понимаю какие особые преимущества она дает вне оперирования секретной документацией, кроме того, что она несколько облегчает жизнь администратору.
...

Дык в этом и фишка. Эта ветка выделилась из "Современные российские ВС" именно потому, что стали разбираться, кому, где и какая безопасность нужна (началось с подводной лодки:)). И в начале разговора вопрос именно так и не был поставлен, что, если на рабочей станции пользователя одновременно открыто несколько приложений с разным уровнем секретности (редактируемые файлы, аська, клиент базы данных и еще на совсекретную страничку зашел,...), а на сервере несколько пользователей с разными допускаи (имею ввиду уровень допуска к секретам) запустили/открыли много всякой всячины...
Как в таком разе без сертифицированной мандатной политики?

Цитата: agt21 от 05.12.2008 16:42:51Собственно такого и не говорил. Просто привел пример в ответ на заданный вопрос... Посмотрите на исходный пост...

Посмотрел...
В нём Вы поминаете некий абстрактный "*nix без шейдинга". На что я Вам отвечаю, что среди более, чем десятка веток юниксоподобных систем нет ни одной, в которой шейдинг можно убить без достаточно серьёзного объёма "работы рубанком" ((ц) Ваш, в дальнейшем прошу разрешения на использование - больно уж nota bene... ). Вы в ответ приводите пример некой кастомной сборки "красной шляпы" (кстати, наиболее сношаемого из пингвиньих дистров), в котором таковая работа рубанком была проделана. И что жто доказывает? IMHO ничего, поскольку эквивалентом такого изврата является система с NT-подобным ядром (неважно, NT4 или XP), поставленная на FAT32 партицию. А это возможно даже без применения к ней рубанка...  

Цитата: agt21 от 05.12.2008 16:42:51P.S. Не нравится мне, когда при сравнении WinNT* и *nix автоматом нивелируются различия между разними *nix'ами (например между *BSD и *Linux). Обычно мир *nix выставляется как нечто единое, не делая отличий между более защищенными и менее защищенными системами, а ведь они совершенно различны. У Win* нет настолько разноплановой линейки продуктов. Так что действительно, сравнение без конкретизации продуктов выглядит действительно некорректным...

*nix'ы - это континуум, в котором "для каждого найдётся", причём практически в каждой ветке. Например, среди берклей наиболее комфортные условия для работы "тяжёлого" серверного софта создаются во фрюхе, наиболее параноидальна (и потому пригодна для машин бэкбона) NetBSD, а девиз OpenBSD, как Вы помните, "Yes! It runs on it!" ("Да! На этом наша система работает!"), то бишь портирована она на пару сотен архитектур, начиная от своеобычной Х86, и кончая чуть ли не мобильным телефоном...
Так что в никсах просто другой подход к выбору системы: человек выбирает не из малого количества дискретных вариантов по принципу "меньшего зла", а практически из континуума ("дорабатывая рубанком", то, что ему активно мешает), причём не "минимизируя неприятности", а "максимизируя пользу"...

Цитата: agt21 от 05.12.2008 16:42:51Ничего не скажу ... В соответствии с п.1 (ниже) ...

И, между прочим, зря "не скажете", поскольку вышеупомянутый XENIX - это полноценный UNIX AT&T-шной ветки (собсно, единственная система, имеющая право называться не "UNIX-like", а UNIX без уточнений, поскольку торговая марка UNIX именно AT&T и принадлежит. Трения же насчёт полной совместимости со стандартами System V - либо "замнём для ясности", либо обсудим отдельно (ибо флеймогенны они до неприличия)... ), в своё время честно Некрософтом (sic!) у AT&T купленный и работавший именно на х86 архитектуре, и до появления NTей бывший единственной серверной системой в некрософтовской линейке. Так что "историю надо знать"...

Цитата: agt21 от 05.12.2008 16:42:51Собственно, если обращаться к началу дискуссии, для ФАПСИ WinNT является системой с открытым кодом... А для всех прочих... Действительно повысить уровень безопасности системы нельзя...

Я оч рад за ФАПСИ, но мы вообще-то говорили о коммерческих системах, т.е. тех, которые продаются за денежку малую, поставляются в комплекте с тем или иным оборудованием, или поставляются бесплатно, а продаются услуги по их сопровождению. Т.е. о 99,999999% тиража NT'ей, если уж говорить в цифрах..

Цитата: agt21 от 05.12.2008 16:42:51Вообще-то я имел в виду не заплатки, а ПО, которого в стандартной поставке нет, например более нормальный (чем штатный) файерволл (скажем, ISA 200x)...

Трипер анальгином не лечится... Пусть этот файерволл будет хоть в сто раз "более нормальным, чем штатный", на виндовские сокеты, к примеру, он не влияет, посему для того, чтобы забить на него большой и толстый - достаточно, к примеру, подменить драйвер вашей эзеровской карточки...

Цитата: agt21 от 05.12.2008 16:42:51Работа во внутренней Intranet-сети, доступ к Internet через шлюз с файерволлом и прокси-сервером. Стандартная оффисная работа.

Чистого C2 тут явно недостаточно. Как я уже упоминал, эзеровский сегмент считать дружественным нельзя уже лет ...надцать как, а ARP-пойзонинг относится к числу стандартных атак примерно столько же. И хотя формально он в требованиях к C2 не упоминается (и сертифицированность принципиально беззащитных перед ним NTей - тому порука.., ), разворотить интрасеть до полного абзаца при его помощи - как два байта переслать.

Цитата: agt21 от 05.12.2008 16:42:51Как я понимаю, мандатное управление доступом - это просто более гибкая и разветвленная система прав доступа, менее зависящая от человеческого фактора... Честно говоря, я не очень хорошо понимаю какие особые преимущества она дает вне оперирования секретной документацией, кроме того, что она несколько облегчает жизнь администратору. Все то же самое как мне кажется можно сделать путем распределения обычных прав доступа... Возможно сложнее, возможно несколько более трудоемко, но все-таки возможно... Но вне системы в разной степени засекреченных электронных документов мне кажется она является избыточной.

Просветите если я что-то не очень хорошо понимаю...  ???

Ну, прежде всего вы неправильно понимаете сам термин... Mandatory - это строго говоря не "мандатное" (основанное на каких-л. полномочиях), а "принудительное" (точнее, "обязательное к исполнению") управление доступом, основным отличием которого от дискреционной модели является то,  что юзер при всём желании не может предоставить/приобрести права доступа к какому-л. объекту шире, чем выставил админ из соображений безопасности системы. Т.е. появление потенциально опасного набора данных является не ошибкой защиты, а ошибкой ФС, и обрабатывается соответственно. Это делает невозможным целые классы атак (например, при наличии более-менее последовательной мандатной системы сама идея исполнить пользовательский код (не говоря уже о данных) в нулевом кольце х86 ("на уровне ядра") является катахрезой, т.е. соединением логически несоединимых понятий. А в NTях слегка поковырявшись с вызовами SVChost'а я в ядре могу делать что хочу (чем, собсно и занимается каждый второй троян, не считая каждого первого... ). Дальше. Такой рудимент мандатной системы, как флаг EP (Execution Prevention), наличествующий в Висте, несмотря на всю свою кривизну и фрагментарность действительно повышает устойчивость системы к достаточно большому числу атак. И введён он отнюдь не из желания повыдрючиваться, а ввиду настоятельной необходимости...

Что же до его избыточности вне системы секретного документооборота - то беда в том, что, безусловно, секретный документооборот на её основе реализовать, естественно, можно, но это будет что-то типа использования БОВ (то бишь, того типа зарядов, который журналюхи называют "вакуумной бомбой"... ) в качестве, например, фумигатора... Вообще-то основное назначение MAC (Mandatory Access Control) - это изоляция процессов друг от друга (и от ядра всех вместе), преупреждение выполнения злонамеренного кода, и тому подобные чисто системные надобности. Юзера же, с их правами и разграничением оных друг от друга, для неё - это так, мелкая "комсомольская нагрузка"...

Цитата: agt21 от 05.12.2008 16:42:51P.S. Кажется я понял различие в установках - по-моему мы по-разному воспринимаем кривость ОС: я не рассматриваю криворукость кодировщиков (т.е. ошибки и уязвимиости в РЕАЛИЗАЦИИ архитектуры), расссматривая только криворукость проектантов. Вы же, как мне кажется, рассматриваете оба типа криворукости как нечто единое. Или я ошибся ?

Ошиблись дважды...
Во первых, то, что в русском языке называется "безопасностью", в английском распадается на два непересекающихся сегмента: "security" и "safety". И обсуждаем мы из них ровно первый (потому как обсуждение второго моментом выведет нас на такую флеймогенные темы, как, например, журналируемость ФС, и.т.д, и.т.п...), мало тогог, третью голову Горыныча (которая reliability - "отказоустойчивость") мы тоже оставляем "за кадром", хотя она для жизни вычислительной системы "в реальном мире" имеет как бы не большее значение, чем безопасность во всех её двух видах...

Так что давно известные баги NT, имеющие именно "криворукий" генезис (типа небезызвестной склонности NTLM отдельно хешировать старшую и младшую половину пароля, причём делать это так, что, к примеру пароль FFKKJJJ (ЕМНИП) даёт одинаковый хэш с пустым паролем, в результате чего брутфорс NTей через эту дыру на современных машинах занимает десятки секунд-минуты) я к рассмотрению не привлекаю...

Но даже с такой "сфероконно-вакуумной" точки зрения безопасность всяческого некрософта - скорее тема для стёба, чем для серьёзного обсуждения (например, чего стоит намертво вшитый в ядро GUI (а точнее - механизм вызова графических окон) с его  известной ещё со времён NT 3,5 "дырой", существующей именно на уровне идеологии и принципиально незакрываемой без переписывания этого самого ядра "с нуля" (я имею в виду механизм посылки сообщения окну, с помощью которого например выполнить шеллкод от имени вечно открытого диспетчера задач (как Вы наверняка знаете, дабы им всегда можно было воспользоваться - NT-подобные системы открывают это окно до логона (и, соответственно, запуска пользовательских процессов), и при нажатии на соответствующую кнопку с красным крестиком - никаким местом его не убивают, а просто выставляют нулевые размеры и координаты окна (потому как если его действительно убить - то при переполнении стека активных окон он хрен запустится... ))).

Цитата: Petrushka от 05.12.2008 17:28:50Ну вот "опять за рыбу гроши"... Мимохожий, Вы таки авторитет (и для меня), но Вы не правы, а другие соглашаются. Не долее как вчера поставил дома, для эксперимента, этакий "3 в 1". + Полный офисный набор. 20 минут. Интересно - напишу подробнее. Кстати, несколько знакомых, имеющих свои фирмы таки пересели с MSO на ОО и очень довольны. Глядишь, там и с винды слезут, деньги-то не лишние.

Сударь, ещё раз...
1) Я никаким местом не отрицаю, что на рабочих станциях вполне могут жить пингвиниксы различного генезиса (начиная со всяческих Убунтей с Мандривами и прочих Кноппиксов), а местами - даже и *BSD. Но...
2) Скольких юзеров, относящихся к классу "девочек с фронтдеска" Вам реально удалось в такую среду пересадить? и
3) В одной из контор, которую я по старой памяти опекаю в околокомпьютерных/сетевых вопросах, добрая треть рабочего персонала ворочается во всяческих ACAD'ах с Компасами (ну, что поделать, архитекторы они... ), ещё половина - в 3D с мудьями (3DS MAX я имею... ), и только оставшаяся одна шестая - это "секретуткины машинки".

С ними-то что делать?

Так что если смотреть с т.з. реальности, а не благих пожеланий, то единственные "господа юзера [что вы пили вчера]", способные пересесть под новую среду - это грамотные и активные "дилетанты широкого профиля" с потребностями, не выходящими за пределы того же сановского ОбПеньОфиса. Не, я конечно таких в подопечных конторах люблю и активно их заслуги перед их шефьями пиарю (из чисто шкурных соображений - они как правило уже готовые эникеи (так что от 90% наиболее идиотских вопросов я уже застрахован ), а кроме того, из оставшихся 10% способны под мудрым дистанционным управлением (по телефону) починить как минимум две трети... ), но, скажите честно, насколько велик их процент по отношению к среднестатистическому офисному населению? По моим прикидкам - дай бог - пара-тройка процентов...

Цитата: _YUKLA_
...Терминалы, кстати, могут быть вообще бездисковыми - посмотрите вот на ThinStation.

Вот здесь Вы четко "за родину". И я про это. Не могу решить проблему гарантии целостности загружаемого по сети ядра. Идеи есть?
Прошу без глупостей. Считайте это предложением.

Прравка - ГТК не предлагать. Работаю на МО.

Цитата: Мимохожий от 05.12.2008 20:29:49
Сударь, ещё раз...
1) Я никаким местом не отрицаю, что на рабочих станциях вполне могут жить пингвиниксы различного генезиса (начиная со всяческих Убунтей с Мандривами и прочих Кноппиксов), а местами - даже и *BSD. Но...

... но, скажите честно, насколько велик их процент по отношению к среднестатистическому офисному населению? По моим прикидкам - дай бог - пара-тройка процентов...

Да это так. Отвечал на другой пост и побурчал. В остальном, увы... Одна поправка - Вы переставили OpenBSD и NetBSD, да и лозунги у них поменялись Net - "Of course it runs NetBSD" (система для тостеров и холодильников). Open - "Free, functional & secure" (хвастаются "Only two remote holes in the default install, in more than 10 years!")

Цитата: ivan2 от 05.12.2008 21:48:04
Вот здесь Вы четко "за родину". И я про это. Не могу решить проблему гарантии целостности загружаемого по сети ядра. Идеи есть?
Прошу без глупостей. Считайте это предложением.

Прравка - ГТК не предлагать. Работаю на МО.

Что Вы имеете под ГТК? Бездисковая - принципиально? А если поставить DiskOnModule?

Цитата: _YUKLA_Переводить на терминальный режим работы. Ставить несколько мощных 3D-рабочих станций ( а не "красная сборка+игровая видеокарта"(с) ) и цеплять ребят к ним через терминалы.

Сударь, Вы издеваетесь или просто неловко пошутили? Вы вообще-то себе нагрузки на рендер-станцию представляете? Ну куда на неё второй терминал вешать, если рендеринг одного ролика на пару-тройку минут в пригодном для показа заказчику качестве идёт сутками?

Цитата: _YUKLA_Терминалы, кстати, могут быть вообще бездисковыми - посмотрите вот на ThinStation.

Уважающий себя терминал вообще не должен иметь никакой ОС на борту .., Например, для CADовских приложений весьма рекомендую вот это: http://www.sun.com/sunray/sunray2fs/ (желательно - с парой "родных" широких 24-дюймовок с разрешением 1920*1200 ).

Цитата: Petrushka от 05.12.2008 23:27:59Одна поправка - Вы переставили OpenBSD и NetBSD

Пасиб, есть такое дело, описАлся.., Что же касается лозунга OpenBSD - то увы, но я его просто не помню (они его достаточно часто меняют), для идентификации мне достаточно ёршика Паффи...

Поставил MCBC 2007 года. Порадовало качество интерфейса, очень грамотно сделан в плане эргономики. Завтра буду разбираться плотнее и издеваться, но первое впечатление - очень положительное. Попробую обновить ядро до более актуального, ибо 2.4.Х уже не катит ну и остальное по мелочи.

Цитата: Petrushka от 05.12.2008 23:51:03Что Вы имеете под ГТК?

GIMP Toolkit. Библиотека графпримитивов под иксами.

Цитата: Petrushka от 05.12.2008 23:51:03Бездисковая - принципиально?

Судя по всему - да... Станции для таких применений должны быть stateless по соображениям отказоустойчивости и не должны иметь собственной долговременной памяти - по соображениям секьюрности.

В общем, поковыряв пальчиком МСВС могу сказать следующее:
- сделана на базе красной шапки 6 или 7, ядро 2.4
- интерфейс - выше всяких похвал, удобный и шустрый
- использована может быть только под развертывание узкоспециализированного софта (в идеале под нее и написаного)
- устанавливать любой сторонний софт - мягко говоря замумишься, ибо куча сопутствующих либ убрана напрочь
- оригинальная система раздачи прав
- в общем, система сделана по-советски (в хорошем смысле этого слова), когда "дверь общаги не открывается не потому, что на ней хитрый замок, а потому что внутри комендант е..т уборщицу и заперся на засов в руку толщиной" (с)
Взять можно Здесь

Цитата: Мимохожий от 06.12.2008 01:34:05
GIMP Toolkit. Библиотека графпримитивов под иксами.
...

Не совсем так. Оч. трудно гарантировать целостность загружаемого ядра, а значит получить сертификат на изделие, как на средство защиты информации (т.н. СЗИ). Получить сертификат Гостехкомиссии (ГТК)- не вопрос, но и уважение к нему соответствующее. Силовики не признают.

Цитата: Мимохожий от 06.12.2008 01:34:05
...
Станции для таких применений должны быть stateless по соображениям отказоустойчивости и не должны иметь собственной долговременной памяти - по соображениям секьюрности.

Вобщем почти так. Бездисковые рабочие станции не нужно закрывать на электронные замки (всякие АПМДЗ). И носители информации не надо в случае чего уничтожать. Питание выключил и привет захватчикам.

Цитата: Мимохожий от 06.12.2008 01:22:56
Сударь, Вы издеваетесь или просто неловко пошутили? Вы вообще-то себе нагрузки на рендер-станцию представляете? Ну куда на неё второй терминал вешать, если рендеринг одного ролика на пару-тройку минут в пригодном для показа заказчику качестве идёт сутками?

Мимохожий, а что кто-то рендерит на рабочей станции? И ещё небось родным Максовым рендером?
Не, я понимаю студенты дома такое делают... Но контора-то может себе позволить и отдельный рендерфарм, или скромненький кластерок...