Ivan Shmakov пишет: >>>>>> Pivushkov Alexandr <[email protected]> writes:>>>>> Ivan Shmakov пишет: > […] > >> На мой взгляд, лишняя программа — лишние уязвимости. Если некое ПО >> не > предполагается когда-либо использовать, то, конечно же, его >> следует > удалить. > > Это верно, в случае, если программа запущена. > Во-первых, конкретное ПО может запускаться по cron, событиям udev, > etc. Не всегда из того, что процесс не запущен в данный момент, следует то, > что он не будет запущен никогда. > Кроме того — шлюзы привилегий. Некоторые пакеты полагаются на > исполняемые файлы с установленным битом SUID (SGID.) Для > многопользовательской системы, уязвимость в такой программе может > представлять проблему. Это, опять же, верно, но только как "proof of concept" проблем безопасности. Можете поверить на слово, не в каждой крупной кампании учитывают такие уязвимости при построении модели угроз. И очень часто, правда не всегда, это оправданный подход. Это я и имел в виду, когда писал "количество уязвимостей, для настольной системы, стремиться к нулю."
> И опять же, могут быть дополнительные проблемы с обновлениями. Пакет > package можно отметить как hold, но его сосед, имеющий в новой версии > Recommends: package (>= 1.2.3), также не захочет быть обновленным. В своей практике я практикую разумный подход к обновлениям. На десктопе они отключены за не надобностью, за исключением 1 программы и то для успокоения совести в основном. На сервере ручное устранение уязвимостей и то не всех подряд. Конечно, это допустимо только конкретно сейчас для конкретного, моего, окружения. Несколько лет - полет нормальный. > > Если нет, то количество уязвимостей, для настольной системы, > стремиться > к нулю. Про "следует удалить" я бы поостерегся, если нет > ну ооочень веских > причин. Бывало, что отключение "не нужных" служб в > одном месте, приводили > к удивительным фокусам в других. Я, вроде, > даже сообщал об этом в > рассылке... > Разумеется. Но это также хороший повод внести отчет в BTS. Что это? -- - Пивушков Александр. Институт проблем химической физики. Черноголовка. -- ubuntu-ru mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
