Mijn kleine frustratie van de dag ...

[tom35]

Bwa diegene dat dat denken...
6j geleden een appartement gekocht en wou een bod doen...zegt de makelaar...bwa dat is wat weinig maar doe er 3000e bij en dan ga ik dat zeker verdedigen... had zoiets van werk je nu voor mij als koper of voor de verkoper..
Als koper krijg je altijd minder en hoe sneller verkocht hoe liever ze het hebben want is inkomsten voor weinig doen..

Tom

[Splitter]

IT'ers die als oplossing "disable apparmor" of "disable selinux" aangeven...

apparmor uitzetten was (vroeger) iets dat ik defacto deed, en als ik het (weer eens) vergat, dan duurde het niet lang vooraleer er weer iets niet werkte.

ondertussen is het wel al redelijke tijd gebeterd en moet ik dat idd ook al even niet meer doen, het draait gewoon vrij goed 'as intended'
het is zelfs al een redelijke tijd geleden dat ik nog eens iets van profielen heb moeten veranderen zelfs (en wat was het dan natuurlijk, wat denk je, cups.... printers, urgh)

maar als je dat al geweldig vind, ik heb ITers gekend die de firewall op default allow all zetten "omdat X dan wel werkt", alsook ITers die je zegt van "bezorg me een wireshark" antwoorden dat ze geen flauw idee hebben hoe dat moet in hun random ass firewall die ze veels te duur aan de klant verkopen maar niet eens instellen.

[CCatalyst]

Ik hou ook niet van die overlays als AppArmor en SELinux. Security zou volledig gedekt moeten zijn door core fundamentals, zonder nog nood te hebben aan een resource-verslindende overlay wiens functie is om de gaten te detecteren die in de core zijn blijven zitten. OpenBSD is textbook voorbeeld van een systeem dat z'n core security op orde heeft, zonder overlays. Maar goed, de realiteit is dat de complexiteit/flexibiliteit van Linux ervoor zorgen dat er allerhande security gaps in Linux blijven zitten, waardoor die overlays, en de miserie die erbij komt helaas noodzakelijk zijn. Ik blijf wel hopen dat dit een tijdelijke fase is en dat er een tijd zal komen waarbij die overlays niet meer nodig zijn.

"bezorg me een wireshark" antwoorden dat ze geen flauw idee hebben hoe dat moet in hun random ass firewall

Je moet het ook niet doen in de firewall. Gebruik een hardware tap (of SPAN).

[devilkin]

Appels vs peren. Het zijn inherent gans andere manieren van werken, andere architecturen beide met hun voor en nadelen.
Verder ook weinig relevant in de "gewone enterprise" context, want de merendeel van de ISVs leveren geen software voor ~BSD (wat een jammere zaak is, maar het is zo).

[Splitter]

Ik hou ook niet van die overlays als AppArmor en SELinux. Security zou volledig gedekt moeten zijn door core fundamentals, zonder nog nood te hebben aan een resource-verslindende overlay wiens functie is om de gaten te detecteren die in de core zijn blijven zitten.

theorie versus praktijk vaak. en ik denk ook niet dat zo'n gigantisch iets als linux, met de openheid, forks, verschillende devs, en support voor tig hardware echt alles "in de core" kan beveiligen.
al zal rust daar misschien wat aan veranderen? who knows? dat is in ieder geval een hot topic de laatste tijd

Je moet het ook niet doen in de firewall. Gebruik een hardware tap (of SPAN).

als je dat gaat zeggen tegen diezelfde zogenaamde ITers horen ze het donderen in keulen.
in de meeste firewalls is het ingebouwd om een wireshark te capturen die dan ook wan & lan zijde tegelijk doet (zodat je slechte NAT ook kan vangen o.a.),
zonder dat je teveel moet uitleggen (in theorie....) dus is dat vaak toch wel de aangeraden manier in situaties waarin ik terecht kom.