Lembrando que há medidas como ativar securelevel, ativar flags imutável em arquivos críticos(/sbin/*, etc...), colocar o /tmp readonly, etc, etc - se não evitar - ao menos vai dificultar que uma possível atividade maliciosa tenha grandes estragos, já que vai limitar em muito o que um software(e o próprio operador) consiga fazer no sistema.
Abraços! Em 19/05/12 12:34, Oscar Marques escreveu: > Ola. > A possibilidade existe mas eh muito remota. > Eu creio que o core team sempre verifica os pacotes, testa e etc... antes > de colocar para o publico. > E isso ja aconteceu ate onde sei com o kernel do Linux (tentaram instalar > um codigo malicioso na arvore do kernel, mas foi detectado e removido), > distros ja tiveram mirrors invadidos e etc... > Voce pode atualizar via ports e/ou baixar o pacote e instalar voce mesmo. > Dependendo de onde voce trabalha, com o que voce lida de informacao e > etc... se tiver alguma PSI, Norma, Procedimento e etc... talvez code review > do pacotes sejam necessarios (por isso o SL se da muito bem em relacao ao > SW proprietario, voce tem acesso ao codigo e voce mesmo pode verificar tudo > antes de sair compilando). > Se voce nao confia realmente, pode baixar o pacote, verificar tanto o md5 > (md5 possui falhas mas ainda eh considerado um metodo 'seguro' para > verificar a integridade dos pacotes, lembrando que o md5 eh one way e ele > gera hash, eh um algoritmo de codificacao e nao de criptografia) quanto o > sha do pacote, se nao bater com os valores da pagina do desenvolvedor, o > pacote pode ter sido trojanado. > Casos assim PODEM acontecer mas a comunidade fica alerta quanto a isso. > Se um pacote malicioso eh detectado, ele eh removido e um alerta eh > disparado para todos (como ja aconteceu com proftd e etc...). > Como o amigo Cleiton disse, o OpenBSD hoje eh considerado o sistema mais > 'seguro' do mundo. O Theo eh muito paranoico e testa exaustivamente antes > de colocar o pacote para download mas tambem ja ocorrem casos com o proj3ct > m4yh3m internacional e o GOBBLES. > Ate o proprio Theo ja teve seus servidores invadidos e etc... > Nada eh realmente seguro 100% mas se a empresa tem a cultura de Seguranca > da Informacao, tem tudo documentado e as normas sao seguidas e etc... voce > pode diminuir o risco de ataques mas nao dou nenhuma garantia de estar tudo > 100% ok. > Abracos. > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
