| 1 |
Senhores, |
| 2 |
|
| 3 |
Eu sempre achei o Gentoo não muito ideal para firewalls devido a dinâmica do |
| 4 |
Gentoo, a filosofia da segurança é baseada em estar sempre atualizado, com |
| 5 |
as últimas correções. Eu particularmente prefiro essa filosofia do que a de |
| 6 |
usar pacotes extremamente antigos, testados e estáveis. Mas firewall é um |
| 7 |
caso a parte. |
| 8 |
|
| 9 |
Por isso, mesmo usando Gentoo nos meus servidores (normelmente hardened 64), |
| 10 |
o firewall eu costumava deixar um velho e Slackware, kernel 2.4, um sistema |
| 11 |
que sempre foi muito estável e estático, pra deixar lá e esquecer -- só |
| 12 |
lembrar quando receber algum e-mail da lista de atualizações de segurança do |
| 13 |
slack. |
| 14 |
|
| 15 |
Mas estou meio descontente com o rumo do Slackware ultimamente, não me |
| 16 |
parece mais a base "rock solid" que eu costumava a confiar para um servidor |
| 17 |
(slack já tem até kde4, hehe). Uma outra opção que costumam me recomendar é |
| 18 |
Debian, mas esse não me desse garganta, não adianta, incompatibilidade de |
| 19 |
gênios, não vai. |
| 20 |
|
| 21 |
Então estava pensando em montar um firewall com Gentoo mesmo, um bom |
| 22 |
Hardened 64, colocar um cron lá pra me enviar um e-mail com os affecteds do |
| 23 |
glsa e instalar um IDS. |
| 24 |
|
| 25 |
Porém, como vocês já devem saber, Linus decidiu há algum tempo que o kernel |
| 26 |
agora é 2.6 e ponto. Não vai ter 2.8. Então agora o que era minor version |
| 27 |
antes acaba funcionando na prática como major, tendo muita diferença de um |
| 28 |
kernel 2.6.xx pra um 2.6.yy. |
| 29 |
|
| 30 |
Então minha pergunta é: qual versão do kernel 2.6 vocês consideram mais |
| 31 |
estável para deixar num firewall? |
| 32 |
|
| 33 |
Outra opção que eu também estou considerando, com ótimas referências, porém |
| 34 |
eu nunca fiz, é usar um OpenBSD para o firewall. Acho que não tem como |
| 35 |
discordar que se o OpenBSD não for o mais, é um dos sistemas operacionais |
| 36 |
mais seguros que existem hoje. (OpenBSD - "Only two remote holes in the |
| 37 |
default install, in more than 10 years!" - |
| 38 |
http://www.openbsd.org/security.html). |
| 39 |
|
| 40 |
O que vocês acham? |
| 41 |
|
| 42 |
|
| 43 |
|
| 44 |
Fabiano. |
Archives