Нашелся спонсор проекта портирования Linux на Xbox

   2  Vlad "И все это хозяйство работает в VMWare ощутимо быстрее, чем на
   реальном железе на той же машине."

   Расскажи, где траву такую забористую взял ?
Ты лучше спроси это у программеров из МС где они траву брали - что в
винде так криво SMP реализована. Не веришь - возьми и проверь сам.
-Vlad

Очень сомнительно.
А вот то, что он может пускать 1с в vmware, дабы после того,
как она рухнула, сервак не ложился весь, больше похоже на правду.
Ну что, может кто 1с на винду и на линуха поставит (на машину
с 2 и более процами, хотя, наверно, и HT сойдет) - посмотрим
как работает.

2 Vlad

Имхо, ты гонишь парень.

Лично видел Win2k с терминальными сервисами в конфигурации:

2 P3, 0.5 Gb RAM uwscsi 160, комфортно работать с 1С могли только < 5

клиентов, правда база была большая под гиг в сумме всех dbf.

При =>10 клиентах наступал

колапс, работать не мог никто. И что будет при vmware ?

На каком железе она должна работать?

Саныч

2 Vlad А под ВМВаре СМП у Виндов резко улучшается ?

2 Vlad: веришь нет - но уже пару лет езжу на Галанте и до сих пор не знаю какой он Галант IV или

Галант V, а может и Галант VI... это инструмент, о котором я не привык думать...

cert.org есть типа "официальный" рессурс, который читают любимые вами "манагеры" и уровень

технических деталей в нем средний... форумы по безопасности они для тех, кому слово вектор

знакомо.

Я понимаю, перечислить могу... но дать сноску о том как сделать то-то и то-то не могу - т.к.

документация дает инфу о общих концепциях - как их совместить вместе нужно понимать

Ваше определение вектора не дотягивает даже до школьного... и эта, определения бывают разные - в

школе, в курсе аналитической геометрии, потом в верхних математиках, в физиках... не факт, что

школьник по определению вектора поля поймет о чем идет речь...

Я потерпел - скомпилял - отчет будет ниже...

Да ссылки я видел - просто судя по тому, что никто из вас не смог в 2-3 предложениях описать как

оно работает, а полезли вы искать сноски - мало кто из вас понимает как оно работает на самом

деле

С кодом разобрался, откомпилял и позапускал на разных версиях ОС, до которых смог дотянуться...

отчет будет ниже

Странно... вродя говорят, что у всех файрволы на линуксах стоят... видимо у линуксовых админов

тоже мало понятия как работает СКЛ и какие порты закрывать... ИСА Сервер из коробки имеет данный

порт закрытым и нужно делать ряд телодвижений чтоб его открыть

Пакетный фильтр стайтлес есть в Вин2000 из коробки, не нужно ИСА... ИСА нужен когда есть желание

иметь настоящий файрволл, с авторизацией, с веб-кешем, с интружен детекшеном, с групповыми

политиками, Квалити оф сервис и т.п.

в правилах задания фильтров есть несколько типов коннекшенов
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechno...

cs/M_P_H_IPProtocol.asp
они определяют какие именно флажки будут стоять... собственно низкий уровень скрыт... советую

почитать также www.isaserver.org - там куча полезной информации... ну и книжка та, что держатель

сайта написал очень хорошее руководство на все случаи жизни...
Расскажите мне как в иптаблес организовать проброс VPNа, как по протоколам/пользователям

назначать правила приоритета траффика?

ну и? более общее определение не распространяется на более частное?
дай ка свое определение переполнения буфера тогда... только не говори "иди и ищи"...

Давайте проведем эксперимент - поставим ХР, установим все патчи, _включим_ выключенный по

умолчанию RPC Listener и проведем эксперимент...

tscrack работает по сети...

какая банальная подмена - хостинг на виндах это принципиально другая задача решается... там не

нужно "шел иметь" и т.п.... хотя я видал и таких - тока никто у них этим не пользуется...

ну как начинает отвечать ПАМ зависит от настроек? т.е. веб-приложение брутфорснуть можно?

2 Сергей К: флоппи нельзя форматнуть обычными средствами в НТФС... да и смысла в этом нет совершенно - служебная инфо съест столько информации, что от дискеты ничего почти не останется... да и в чем собственно может быть цель такой операции?

по второму вопросу нужно больше информации - я такого не наблюдал, хотя регулярно по сетке общаюсь с машиной соседа как раз под Вин98...

Как раз не факт... средний слой может завести пул коннектов к базе данных и не создавать их при каждом обращении, да и масса доп. преймуществ.

Они не на сайте хранят визитки, а в базе данных или в логе отладочном... у меня было несколько прецедентов, когда легко и непринужденно вытаскивалось от 25 до 75 тыс. номеров кредиток... :)

То же самое касательно ИСАСервера - можно поставить его как кеш, как файрволл и как то и другое... соответственно будут установлены только те сервисы, которые нужны...

Вы видели 3ху с семерочным двиглом? я нет... опять же - умельцы и с виндами делать могут чего угодно... взять хотя бы ВинХР Ембедед Едишн - делай что хош, выкидывай, добавляй что нужно... вон народ делает подсистемы жесткого реалтайма куроча ядро по полной программе

ну вот про SecureNAT на чекпоинте есть http://www.checkpoint.com/products/protect/firewall-1_netaddress.html

РИАА занимается _защитой_ прав собственников, а не гробастанием прав...

Угу, но даже если я с кругу семьи спою партию Music of the night ни А.Л.Веббер, ни РИАА ко мне не будут иметь никаких претензий... если я начну этим зарабатывать деньги - будут. вот и вся разница... при жизни Моцарта не было РИАА... посему кто-бы не исполнял произведения В.А.Моцарта - ему не платилось ни гроша - результат: общая могила.
Теперь г-н Столлман предлагает сделать то же самое с "композиторами - программамерами" в пользу "исполнителей - внедряльщиков/настройщиков"...

2 Alter: там тулза для проверки что за версия стоит и нет ли поврежденных библиотек. Вся беда, что разные производители софта совершенно не следуют ни рекомендациям, ни требованиям МСа в части даже такой элементарной вещи, как инсталлятор... отсюда все зло.

2 del:

1. см. ссылку в ответе Vlad-у
2. по-разному... там Vlad готовит развернутый ответ
пока только сие:
A buffer overrun is one of the most common sources of security risk. A buffer overrun is essentially caused by treating unchecked, external input as trustworthy data. The act of copying this data, using operations such as CopyMemory, strcat, strcpy, or wcscpy, can create unanticipated results, which allows for system corruption. In the best of cases, your application will abort with a core dump, segmentation fault, or access violation. In the worst of cases, an attacker can exploit the buffer overrun by introducing and executing other malicious code in your process. Copying unchecked, input data into a stack-based buffer is the most common cause of exploitable faults.

Buffer overruns can occur in a variety of ways. The following list provides a brief introduction to a few types of buffer overrun situations and offers some ideas and resources to help you avoid creating new risks and mitigate existing ones:


Static buffer overruns
A static buffer overrun occurs when a buffer, which has been declared on the stack, is written to with more data than it was allocated to hold. The less apparent versions of this error occur when unverified user input data is copied directly to a static variable, causing potential stack corruption.

Heap overruns
Heap overruns, like static buffer overruns, can lead to memory and stack corruption. Because heap overruns occur in heap memory rather than on the stack, some people consider them to be less able to cause serious problems; nevertheless, heap overruns require real programming care and are just as able to allow system risks as static buffer overruns.

Array indexing errors
Array indexing errors also are a source of memory overruns. Careful bounds checking and index management will help prevent this type of memory overrun.

Preventing buffer overruns is primarily about writing good code. Always validate all your inputs and fail gracefully when necessary

3. www.f-secure.com, www.ssh.com имеют версии для виндов, так же как и для юниксов... версия от f-secure сертифицировано по ФИПСу... из бесплатных ОпенССШ от цигвина http://www.cygwin.com/packages/openssh/
4. как только про сие рассказали - сразу попробовал... не работало
5. смотреть надо
6. "плохостью" файловой системы... не надежностью

8. терминал отдает все гораздо медленнее, чем дергание ПАМ-а... сильно медленнее... посему атака брутфорсом не имеет смысла и за 2 часа ничего не взломаешь... таки чего вы там отбрутфорсили так быстро? хеш под админом вытащенный?

9. и? она будет работать от практически гостевого пользователя, посему доступа к хешу не получит, да и полномочий дергать нечто типа pam_authorise у нее не будет - правов нету. Будет себе работать в изолированном веб-приложении не мешая другим веб-сайтам... а даже если и чего, то после трех попыток аккаунт, к которому она лезет заблокируется на минут 30...

10. Дык работало нечто такое давольно давно с год-полтора...

11. как я понимаю устройство процедуры аутентификации в юниксе, то pam_authentificate это функция верхнего слоя - т.е. она смотрит какому модулю передать процедуру аутентификации на более низком уровне и реализует все задержки. Если напрямую дергать эти модули, будут ли там задержки... ведь нам не нужно получать токен на доступ - достаточно знать работает/не работает ли пароль? возможен ли такой подход? В виндах нет - я напрямую модуль дернуть не могу, все идет через LSA, который уже будет блокировать аккаунт в соответствии с политикой безопасности активной в системе. Напрямую не получится, т.к. не будет полномочий у "гостя" - нужно иметь полномочия аналогичные LSA/Local System

12. а где что-либо написано в мануале к линуксу :) там без интернета не обойдешься вообще... :)
самое интересное, если в XP запустить Пуск - Справка и Поддержка и в окне поиска набрать tcp, то она покажет и на данную информацию... если машина подключена к интернету, то покажет свежие статьи из базы знаний - в моем случае это второй пункт в возвращенном списке из 15 статей

13. не, виндус ничего не думает - это программа на компьютере - разумом не наделенная... это просто некоторые кул хацкеры считают себя глупее ее... я могу пытаться ответить только на конкретный вопрос, а не глас вопиющего в пустыне...

14. вы смеетесь... я на некоторые по 3 раза спрашивал ответов - хрена... только визг и новых 10 вопросов в мою сторону... то, что мне было интересно я в конце концов сам был вынужден найти (про ПОСИКС-конформанс, выяснилось, что мало кому известный немецкий древний дистр таки прошел тесты, про остальные дистры скромное молчание)

2 Алесандр второй: итак... добавив инклюд к вашему старому коду скомпили данное приложение и запустили на разных виндах (из тех, что есть в офисе)...

Вин2000Сервер - в терминальной сессии... прога запущена, проц под 100%... все запущенное _до_ работает, правда медленно. _новые_ программы не запускаются (конечно, безпрерывный вызов RegisterClass съел весь юзер-хип данной сессии и новое приложение получает отказ в регистрации своего класса окон). У остальных пользователей легкое притормаживание. Админ с консоли или из терминального окна видет данный процесс с 99-100% загрузкой и без проблем ее убивает

Вин2000Сервер в консоли - аналогично грохается программа путем подключения к нему с терминала

Вин2003СерверРЦ2 - аналогично в обоих случаях

ВинХР... все запущенные до программы продолжают работать... (кстати, ВМВаре действительно рулез - на физической машине работала эта хрень, а она продолжала работать как ни в чем не бывало)... поскольку перегружать машину не хотелось c другой машины зашли через ремоут ассистанс и прибили там это приложение без проблем.

2 Vlad: да, трава действительно забористая :) вы бы хоть почитали как работает VMWare

2РТО

>ИСА нужен когда есть желание

иметь настоящий файрволл, с авторизацией, с веб-кешем, с интружен детекшеном, с групповыми

политиками, Квалити оф сервис и т.п.

Ну как всегда комбайн для домохозяйки, и шьет и пылесосит.

А на самом деле ничего толком сделать не может.

Посмотрел на www.isaserver.org.

ИМХО - полное дерьмо, в статьях куча скиншотов с различными

визардами и с десяток строк текста, никаких примеров с конфигур.

файлами не нашел.

ИМХО ИСА до настоящего файервола как до луны раком.

Чего нет, чтобы считать ИСА файерволом (фв):

0. Не умеет фильтровать на уровне МАС адресов, не умеет фильтровать

IPv6.

1. В стате-фулл фв, фильтрация происходит только в начале сессии и все остальные пакеты, принадлежащие сессии не фильтуются, что дает колоссальный прирост производительности.

2. Не может работать с фрагментированными пакетами (нормализация), пакеты собираются в ядре, а это уже за фв :) - надеюсь понятно, что таким образом можно его обойти.

3. Не может работать с флагами пакетов. nmap по реакции системы на SF флаги, достаточно точно определяет тип ОС. И еще это дает кучу разных возможностей, типа обмана nmap и т.д.

4. Не может работать в stealth mode, т. е. без IP на внешнем интерфейсе, что делает фв неуязвимым для хака.

5. Не может динамически менять правила, без участия человека.

Например, в unix можно написать скрипт, который определяет, что все

компы пользователей работающих с БД выключились, тогда он динамически

перегружает правила фв и все сервера с БД и шары на самбе

заблокированы наглухо, но логи попыток соединения ведутся.

Утром народ приходит на работу и фв авт. открывается.

Админ на работу не ходит :).

7. Нормальные фв имеют хорошо док. и развитые АПИ, ну тут вообще

раздолье, при наличие некоторых навыков программирования.

Саныч

2 Саныч: угу, смотрим в книгу, а видим кое что другое...

конечно, практически все нормальные файрволлы это умеют либо в одном флаконе, либо в качестве доп. модулей... а в линкусе нетути - стратегия понятна - назвать "комбаином для домохозяек"... так держать!

0. а на фига по МАК-адресу... этож ИП-файрволл, а не Эзернет файрволл... там нормальная аутентификация есть - по пользователю, а не по тому на какую машину он сел или какой мак в настройках карты прописал (есть и такие)

1. о как! вы можете привести различия между стайт-фул и стайт-лес файрволами?

2. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechno...

3. не интересовался

4. ну в этом вы у нас специалист большой - прицепить к интернет-веревке машину без ИП и заставить ее работать файрволом

5. я вам по-секрету скажу... у него фильтрация динамическая - т.е. клиенту надо - порт открыли, клиенту не надо - он сам закрылся... + настройки на работу с календарями... т.е. можно сказать, что на порно-веб сайты, к примеру, можно ходить тока до 8 утра и с 23 часов ночи... и никаких скриптиков писать не надо http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechno...

6. ?

7. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isa/isastart... - тут СДК для ИСА Сервера - раздолье для тех кто умеет программировать

2РТО

>Вин2000Сервер - в терминальной сессии... прога запущена, проц под 100%... все запущенное _до_ работает, правда медленно. _новые_ программы не запускаются (конечно, безпрерывный вызов RegisterClass съел весь юзер-хип данной сессии и новое приложение получает отказ в регистрации своего класса окон). У остальных пользователей легкое притормаживание. Админ с консоли или из терминального окна видет данный процесс с 99-100% загрузкой и без проблем ее убивает

Блин, а что делать если админ в отпуске ? И убить процесс некому ?

Представляете какой нибудь засранец запустит 10 копий такой программы

и что вся контора в дуне ?

>У остальных пользователей легкое притормаживание.

На самом деле я видал другое, когда процесс жрет 100% cpu, то другие

просто отдыхают.

Саныч

0. Можно блокировать/разрешить ЛЮБОЙ трафик. netbios например или IPX

2. When Microsoft Internet Security and Acceleration (ISA) Server filters packet fragments, it drops all fragmented IP packets.

Ну и что ? Дропать любой дурак сможет. А если у Вас не эзернет ?

И mtu маленькое ? То сразу все идет лесом ? Читаем про нормализацию.

Это когда все фрагменты собираются в кеш, до сборки нормального пакета,

который потом фильтруется.

Саныч

2 Саныч:

когда пользователь выйдет из своей сессии это приложение прибьется автоматом... админ нужен для
1. прибить приложение без необходимости пользователю делать логофф
2. для того чтобы настроить политику так, чтобы пользователи не могли запускать что не попадя на терминальном сервере

кол-во запущенных прог не так важно... ибо в конце концов она без конца дергает registerclass, который постоянно возвращает ошибку. активность есть - но на других пользователей оно особливо не влияет - приоритет повысить себе оно не может, посему шедулер просто будет давать работать ей, а не System Idle Process, если будут другие задачи, то они будут работать спокойно. Собственно я это и наблюдал - ворд работал без проблем, даже в ВМВаре крутилось все вполне нормально в параллели с этим софтом...

0 какой такой траффик любой? у вас на внешних интерфейсах рутится IPX в интернет? или NetBIOS (вы наверное все-же NetBEUI имели в виду - ибо это он протокол, а не интерфейс АПИ) - дык он не рутабельный или инкапсулируется в другой протокол - NetBT - NetBIOS over TCP/IP

придумайте что-либо по-лучше

2. а у кого МТУ меньше, чем у езернета? у токен-ринг или фрейм-релея?
вырубать сборку фрагментов это однозначно скорее всего не дать работать стримингу через файрволл, что не есть хорошо... но если разрежить фрагментацию пакета - означает ли это, что он не пройдет через фильтр? тем более, что у ИСА есть апликейшн фильтр, который работает как-раз со стримингом...

2 РТО

0 Читаем про эзернет бридж, нетбиос - это жаргон. Инет тут не причем,

внутренный трафик тоже фильтруется.

IPv6 - скромно пропускаем ?

Какие клиенты умеют авторизоваться на исе ? Кроме виндовых разумеется.

Кто из МАС или юнихов умеет ?

2 Внимательней. Фрагменты собираются фильтром, а не ядром. Когда

собирает ядро, то уже поздно фильтровать.

Саныч

2 Саныч:
0 ну так дайте же сноски - почитаю с удовольствием!

у вас много сетей ipv6?

авторизоваться для всего траффика умеют 95% клиентских ОС в мире, авторизоваться для web-proxy все остальные тоже

2 почему вы решили, что собирает ядро в ИСЕ? перед тем как фильтровать...

   Очень сомнительно.
   А вот то, что он может пускать 1с в vmware, дабы после того,
   как она рухнула, сервак не ложился весь, больше похоже на правду.
   Ну что, может кто 1с на винду и на линуха поставит (на машину
   с 2 и более процами, хотя, наверно, и HT сойдет) - посмотрим
   как работает.
Ну у человека в конторе так полгода оно работает. Да, звучит нелогично,
но это факт.
   При =>10 клиентах наступал
   колапс, работать не мог никто. И что будет при vmware ?
   На каком железе она должна работать?
Там 2xP4 с 2-4 ГБ памяти AFAIR. В общем машина неплохая.
   2 Vlad А под ВМВаре СМП у Виндов резко улучшается ?
Не знаю что улучшается, факты говорят за себя.
   2  Vlad:  веришь нет - но уже пару лет езжу на Галанте и до сих пор не
   знаю какой он Галант IV или
   Галант V, а может и Галант VI... это инструмент, о котором я не привык
   думать...
Просто ты не видишь название машины *написанным*. А вот "windows2000"
ты видешь раз в час наверно, и ты не сможешь не заметить когда кто-то
напишет "windows1999 personal edition". В общем зрительная память такая вещь..
   cert.org  есть типа "официальный" рессурс, который читают любимые вами
   "манагеры" и уровень технических  деталей  в  нем средний... форумы по
    безопасности они для  тех, кому слово вектор знакомо.
Однако технику экплойта там описывают очень понятным техническим языком.
   Я  понимаю, перечислить могу... но дать сноску о том как сделать то-то
   и то-то не могу - т.к.
   документация  дает  инфу о общих концепциях - как их совместить вместе
   нужно понимать
Я тебя не просил дать ссылку *как* что-то сделать, а только ссылку которая
подтверждает что *можно* сделать.
   Ваше  определение  вектора  не  дотягивает даже до школьного... и эта,
Я не давал определения, а давал об[яснение на пальцах.
   определения бывают разные - в
   школе, в курсе аналитической геометрии, потом в верхних математиках, в
   физиках...
Видно что ты ВУЗ не кончал. К твоему сведению физика используют математику
для своих теорий - посему своих определений вектора у них быть не может.
Ну и определение вектора одно. Ищи сам в любом мат. справочнике.
   Да  ссылки  я  видел - просто судя по тому, что никто из вас не смог в
   2-3 предложениях описать как оно  работает,
Тут тебе не бесплатная консалтинговая контора. Зачем пересказывать если можно
прочесть полностью без потери информации? Интернет для того и придуман, чтобы
ссылки давать (или в МС не учили ходить по ссылкам?).
   ну и? более общее определение не распространяется на более частное?
Понятно, школу ты не кончал. Определение - это то, что позволяет указать
*уникальные* свойства и признаки об[екта и позволяет отличить его от других.
Если под определение попадают об[екты, не являющиеся определяемыми
об[ектами, то определение неправильно.
 Сравни "определения" "квадрат это четырехугольник" и нормальное полноценное
определение "квадрат это равносторонний прямоугольник".
   дай  ка свое определение переполнения буфера тогда... только не говори
   "иди и ищи"...
Мое определение переполнения буфера не отличается от общепринятого.
   какая  банальная  подмена - хостинг на виндах это принципиально другая
   задача решается... там не
В общем сходи к врачу, что тут говорить.
   ну  как начинает отвечать ПАМ зависит от настроек?
Вопрос не понял. Не мудрено - ты не знаешь и 1% от ответа.
   2  Сергей К: флоппи нельзя форматнуть обычными средствами в НТФС... да
   и  смысла  в  этом  нет  совершенно  -  служебная  инфо  съест столько
   информации,  что  от  дискеты  ничего почти не останется... да и в чем
   собственно может быть цель такой операции?
Сорри что встряну - а ZIP-диск? А SmartMedia?
   пока только сие:
   A buffer overrun is one of the most common sources of security risk. A
Это не есть определение. (В школе еще учат что определения должны быть
лаконичными и минимальными по длине).
   6. "плохостью" файловой системы... не надежностью
Какая нафиг надежность если ее рид-онли монтировать?! (Кстати, в винде
можно монтировать файловые системы ридонли? А с запретом изменения времени
последнего доступа к файлу?)
   8. терминал отдает все гораздо медленнее, чем дергание ПАМ-а... сильно
   медленнее...
Что за бред ты выдумал?
   11.  как  я  понимаю  устройство процедуры аутентификации в юниксе, то
   pam_authentificate это функция верхнего слоя - т.е. она смотрит какому
   модулю  передать  процедуру  аутентификации  на  более низком уровне и
Нет, в юниксе и PAM ты абсолютно ничего не понимаешь.
   13.  не,  виндус  ничего  не  думает  -  это программа на компьютере -
   разумом не наделенная...
Действительно. Умнее пользователя считают себя
архитекторы/менеджеры/программеры из  МС.
   2  Vlad: да, трава действительно забористая :) вы бы хоть почитали как
   работает VMWare
Как говориться, против фактов не попрешь. Я тоже сначала удивился этому.
--
PS: что профи посоветуют - можно ли нормально играть сидя за  win2k adv
server (если поставить все драйверы конечно) в стрелялки типа q3, или будет
работать намного медленнее чем в win2k prof?
-Vlad

2 PTO: Грамотей, блин, теоретик! Вектор - это всякая величина, обладающая направлением. 2 тебе по аналитической геометрии. Хе-хе.

2 All: Охота вам с двоечниками и врунами общаться? Мне - НЕТ.

>тоже мало понятия как работает СКЛ и какие порты закрывать... ИСА
>Сервер из коробки имеет данный порт закрытым и нужно делать ряд
>телодвижений чтоб его открыть Пакетный фильтр стайтлес есть в Вин2000
> из коробки, не нужно ИСА... ИСА нужен когда есть желание
А почему такая эпидемия? Почему СКЛ-ный порт не закрыли?


>Расскажите мне как в иптаблес организовать проброс VPNа, как по
Устанавливается тунель при помощи ssh. Полно про это howto написано.

>протоколам/пользователям назначать правила приоритета траффика?
Ага, можно. Есть такой модуль owner, в качестве опций выступает uid, gid, pid и sid :)

>Давайте проведем эксперимент - поставим ХР, установим все патчи,
>_включим_ выключенный по умолчанию RPC Listener и проведем
>эксперимент...
Ну тут Вы меня совсем расстроили. RPC необходим всегда для работы ХР. Без него она мрет.

>tscrack работает по сети...
Ну и что? Это делает ее хуже? :)
http://www.astalavista.com/tools/password/wincrackers/
Вот тут найдете себе ломалку виндов на все случаи жизни. ;)

>какая банальная подмена - хостинг на виндах это принципиально другая
>задача решается... там не нужно "шел иметь" и т.п.... хотя я видал и
>таких - тока никто у них этим не пользуется...
Ага, если нельзя то и не нужно ;) Майкрософт не будет вкручивать лампочку, он объявит темноту новым стандартом. :)

>ну как начинает отвечать ПАМ зависит от настроек? т.е. веб-приложение
> брутфорснуть можно?
Вы не поняли. Если у вас в ПХП скрипте стоит
if ($password == 'vasia')
{
...
}
else
{
echo "fuck off, man";
}
тогда приложение брутфорсится, а если там стоит вызов ПАМ-а, то ПАМ сам реализует задержку.

>Как раз не факт... средний слой может завести пул коннектов к базе
>данных и не создавать их при каждом обращении, да и масса доп.
>преймуществ.
Тоже верно. В принципе, я согласен, что 3-тьер это лучше, чем 2-тьер, но практика показывает, что 2-тьер несколько быстрее в среднем.

>Они не на сайте хранят визитки, а в базе данных или в логе
>отладочном... у меня было несколько прецедентов, когда легко и
>непринужденно вытаскивалось от 25 до 75 тыс. номеров кредиток... :)
Ок, ломайте на здоровье. :)

>То же самое касательно ИСАСервера - можно поставить его как кеш, как
>файрволл и как то и другое... соответственно будут установлены только
> те сервисы, которые нужны...
И насколько тонко можно управлять фаерволом и кэшом? Можно ли сделать баннерорезку? Можно ли попросить синхронизироваться с соседним кешом?

>Вы видели 3ху с семерочным двиглом? я нет... опять же - умельцы и с
>виндами делать могут чего угодно... взять хотя бы ВинХР Ембедед Едишн
> - делай что хош, выкидывай, добавляй что нужно... вон народ делает
>подсистемы жесткого реалтайма куроча ядро по полной программе
Так они, видать, изменяли исходный код ядра. Я имел ввиду настройки без программизма или с легким программизмом на шелле или аналогичном скриптовом языке.
А реалтайм из виндовса, ИМХО, в отделе фантастики. :)

>ну вот про SecureNAT на чекпоинте есть
>http://www.checkpoint.com/products/protect/firewall-1_netaddress.html
Ага, есть. Но термин пришел из ИСЫ.

>РИАА занимается _защитой_ прав собственников, а не гробастанием
>прав...
Спросите у самих музыкантов, что они думают про РИАА-у. Такой мат стоять будет!

>Угу, но даже если я с кругу семьи спою партию Music of the night ни
>А.Л.Веббер, ни РИАА ко мне не будут иметь никаких претензий... если я
> начну этим зарабатывать деньги - будут. вот и вся разница... при
>жизни Моцарта не было РИАА... посему кто-бы не исполнял произведения
>В.А.Моцарта - ему не платилось ни гроша - результат: общая могила.
Скачивая МП3 и делясь ими с друзьями Вы не зарабатываете денег, однако РИАА яростно визжит по этому поводу.

>Теперь г-н Столлман предлагает сделать то же самое с "композиторами -
> программамерами" в пользу "исполнителей - >внедряльщиков/настройщиков"...
Не правда. Он не это предлагает. Он хочет, чтобы композиторы свои ноты публиковали.

2 del:

>1. см. ссылку в ответе Vlad-у
См. ответ Vlad-а :)
>2. по-разному... там Vlad готовит развернутый ответ
>пока только сие:
>A buffer overrun is one of the most common sources of security risk.
....
>Always validate all your inputs and fail gracefully when necessary
Только Вы не сказали как именно работает этот эксплоит. Почему именно удается что-то запустить удаленно. К сожалению, я тоже могу сказать, что Вы в эксплоитах не шарите. А привести цитату из Интернета в то время как я Вас просил привести Вашу трактовку - вообще бесчестно.


>3. www.f-secure.com, www.ssh.com имеют версии для виндов, так же как
>и для юниксов... версия от f-secure сертифицировано по ФИПСу... из
>бесплатных ОпенССШ от цигвина http://www.cygwin.com/packages/openssh/
Так Вы же сказали, что у винды свои средства для этого.

>4. как только про сие рассказали - сразу попробовал... не работало
У Вас последний патч стоял. Когда я написал об этом патч был, но не у многих.

>5. смотреть надо
Надо.

>6. "плохостью" файловой системы... не надежностью
Есть большое отличие виндовса от линукса. У линукса бутовая партиция очень маленькая, там лежит только ядро(ядра) и требуха для загрузчика. Более того, я бутовую партицию не монтирую автоматом. А могие ее монтируют в рид-онли. Поэтому если чего не так пойдет, с ней ничего не приключиться. А если и приключится (что весьма и весьма маловероятно), то ничего не мешает забутиться с компакта, снести ее, поставить заново.

>8. терминал отдает все гораздо медленнее, чем дергание ПАМ-а...
>сильно медленнее... посему атака брутфорсом не имеет смысла и за 2
>часа ничего не взломаешь... таки чего вы там отбрутфорсили так
>быстро? хеш под админом вытащенный?
Тем не менее, терминал работает достаточно быстро, если есть свободный денек и можно его потратить на взлом. Ну хорошо, три дня, почему ьы и нет. Или вы хотите сказать, что админ должен постоянно сидеть и охранять сервер, а когда увидет активность - убивать процесс? :))

>9. и? она будет работать от практически гостевого пользователя,
>посему доступа к хешу не получит, да и полномочий дергать нечто типа
>pam_authorise у нее не будет - правов нету. Будет себе работать в
>изолированном веб-приложении не мешая другим веб-сайтам... а даже
>если и чего, то после трех попыток аккаунт, к которому она лезет
>заблокируется на минут 30...
А прочитать системный диск правов хватит?

>10. Дык работало нечто такое давольно давно с год-полтора...
И что, шустро работало? Я вообще с трудом представляю, как виндовс будет работать на 233 пне с минимумом мозгоф.

>11. как я понимаю устройство процедуры аутентификации в юниксе, то
>pam_authentificate это функция верхнего слоя - т.е. она смотрит
>какому модулю передать процедуру аутентификации на более низком
>уровне и реализует все задержки. Если напрямую дергать эти модули,
>будут ли там задержки... ведь нам не нужно получать токен на доступ -
> достаточно знать работает/не работает ли пароль? возможен ли такой
Мда, Вы не правильно представляете процедуру аутентификации. О каких модулях Вы говорите? Ядерных? Ничего похожего там нет. Если Вы о динамических библиотеках, которые использует ПАМ, то ради Бога, подгружайте их, только они не помогут, т.к. пермиссий не хватит, чтобы проверить пароль. Это может делать только рут. ПАМ запущен от рута, следовательно, он может это сделать. Другими словами, чтобы обойти пам и проверить пароль Вы должны стать рутом. Чтобы стать рутом Вам нужен пароль.

>подход? В виндах нет - я напрямую модуль дернуть не могу, все идет
>через LSA, который уже будет блокировать аккаунт в соответствии с
>политикой безопасности активной в системе. Напрямую не получится,
>т.к. не будет полномочий у "гостя" - нужно иметь полномочия
>аналогичные LSA/Local System
Погодите, а обычный узер может это сделать? Не гость.

>12. а где что-либо написано в мануале к линуксу :) там без интернета
>не обойдешься вообще... :) самое интересное, если в XP запустить Пуск
> - Справка и Поддержка и в окне поиска набрать tcp, то она покажет и
>на данную информацию... если машина подключена к интернету, то
>покажет свежие статьи из базы знаний - в моем случае это второй пункт
> в возвращенном списке из 15 статей
В линуксе man, info, /usr/share/doc и доки на компактах с дистрибутивом. Все это очень избыточно и ответ можно найти в нескольких метах. Другое дело, что google гораздо быстрее работает, чем grep, и информация в инете написана более живым языком. Но если нет инета, то все ищется и без него.

>13. не, виндус ничего не думает - это программа на компьютере -
>разумом не наделенная... это просто некоторые кул хацкеры считают
>себя глупее ее... я могу пытаться ответить только на конкретный
>вопрос, а не глас вопиющего в пустыне...
Почему тогда, как только я хочу что-то поменять в виндовсе я получаю по рукам? Хочется мне раз в день гасить сетевой интерфейс автоматом. И как мне это сделать? В голой винде.

>14. вы смеетесь... я на некоторые по 3 раза спрашивал ответов -
>хрена... только визг и новых 10 вопросов в мою сторону... то, что мне
> было интересно я в конце концов сам был вынужден найти (про
>ПОСИКС-конформанс, выяснилось, что мало кому известный немецкий
>древний дистр таки прошел тесты, про остальные дистры скромное
>молчание)
Про ПОСИКС Вам ответили что знали. Нашли дистр - молодец!

Который день читаю все это.
Есть скромное мнение, что способы достижения поставленной задачи
в виндах отличаются от способов достижения этой же задачи в юниксах.

Если ms и Со являются сторонниками универсальных решений из коробки,
то в юниксе каждая программа делает свое дело или несколько дел
из одной узкой области + имеет некие "узелки", которые позволяют
программам свяхваться напрямую друг с другом или с помощью
скриптов и переменных среды.
Почему так получилось? Потому что cmd.exe никогда не была так
хороша как sh или perl. Имхо отчасти это вызвано желанием
сделать так, чтобы ОС "думала" за пользователя (облегчала работу).
С другой стороны у нас нездоровая жадность - как можно сильнее раздробить
софт, дабы каждую частичку продать - частями стоит дороже и пользователю
психологически легче отдать, скажем, $200, потом еще столько же, и еще,
чем $400 или больше сразу.

Думается, что данное стремление загоняет мс в нишу, где оно естественно:
видеоигры. За игры нужно платить. Значит берем x-box, ставим на него
хитрую винду (уж под пару комплектов оборудования можно написать не
операционку, а конфетку), даем три компашки, а дальше делаем бабки
исключительно на играх, желательно еще и ха использование игровых серверов
брать...
А к приставке присобачить системы контроля за домом, желательно на
одном и том же базисе (чтоб операционку не переписывать) и с одним
и тем же протоколом обмена. Кто не согласен - идет лесом.
Тут главная опасность в том, что придется раскрывать протоколы общения...
За дело берется система защиты от запуска чужих продуктов - они ее
на приставках, думаю, отработают до такой степени, чтобы в ближайшие
несколько лет ломать систему было невыгодно (затраты времени/денег
больше, чем выгода от взлома) и потом воткнут везде. А за сертификацию
придется платить, возможно делать отчисления с каждой копии продукта.

И вылезут производители модчипов и коалиция продвижения линукса.
И начнется - linux+mono+java+others vs windows+net+others (а насчет java
еще нужно посмотреть).
IBM+sony+linux companies vs microsoft

Вылезут вирусописатели и трояновредители. Линукса будут терзать
трояны, а мс все кому не лень... Парочка эпидемий... More friendly linux...

Битва будет некислая...

P.S. Почему же не закрыли СКЛ-сервера. Блин, за 1.5кбаксов один порт
закрывать?

2 PTO

>>флоппи нельзя форматнуть обычными средствами в НТФС... да и смысла в этом нет совершенно - служебная инфо съест столько информации, что от дискеты ничего почти не останется... да и в чем собственно может быть цель такой операции?

>Сорри что встряну - а ZIP-диск? А SmartMedia?

Я тоже встряну. А можно ли ШТАТНЫМИ средставами ЛЮБОЙ винды нормально записать CD? C RR?

И как в ШТАТНОЙ поставке опять же ЛЮБОЙ винды с поддержками файловых систем отличных от FAT16/32 и NTFS? А если я захочу отформатировать диск не в текущей версии NTFS, а в одной из предыдущих?

РТО, большое спасибо за ответы!

Хотел спросить еще следущее:

1) Можно ли в виндусе запретить юзерам читать DataCD - чтобы они могли только слушать audio-cd и как?

2) Можно ли в виндусе запретить юзерам исполнять файлы (.exe,.com,.bat) с с компактов - то есть чтобы они могли читать файлы и только, и как это сделать?

3) Есть папка с множеством папок и документов в ней, документы от разных владельцев, а разными сложными пермишинами, с некоторые с выставленным аудитом. Нужно переслать ее и только ее на другой комп по эл.почте с сохранением всех ACL'ов и флагов аудита, чтобы развернуть ее там полную копию там. Какой архиватор можно использовать? (Я спрашиваю потому что в виндусе админ может не иметь права читать чужие файлы, и тем более выставлять на них права).

Спасибо за ответы. Сергей К.

2 Vlad:

угу, зрительная память рулез... отложился РХ7.3, а какой последний был 6.х уже и не помню... вот и прогнал

Угу, описывают очень понятным языком... для всех понятным... в форумах встречаются выражения всем не понятные...

там выше была уже сноска про фильтры и правила.

Так дайте же скорее определение вектора! Пока что ваше "Вектор - это образно говоря "направленный отрезок в данном пространстве координат, незакрепленный в какой-либо точке (то есть он может перемещаться плоскопараллельно в этом пространстве)". " даже на 3 балла не дотягивает

ВУЗ не кончал, я его заканчивал :)
Судя по вашим определениям вас выгнали на первом курсе - как раз видимо аналитическую геометрию завалили. Открываю справочник - там 2 определения вектора :)

Ну давай же скорее в студию определение уникальных отличительных черт буфер оверфлоу!
Давай общепринятое (кем только оно принятое не забудь указать)

Ок. перефразирую вопрос - есть ли настройки поведения ПАМа в части через сколько и насколько нужно тормозить?

ZIP диск можно форматнуть на НТФС... единственная проблема будет это то, что кнопка выброса не будет работать - нужно будет делать в софте - НТФС блокирует простой размаунт устройства - по соображениям безопасности

SmartMedia это чего? флеш-карточки? на сколько я понимаю у них зашита внутри ФС... ИМХО что-то типа ФАТа... надо попробовать

А я там не давал определения - я давал подробности для человека, который их просил

Локально дергая ПАМ или там LSA в виндах я делаю простой вызов некой функции ОС... в случае с подключением к терминал серверу все гораздо сложнее - мне нужно делать массу телодвижений и грубо говоря передавать другой машине "нажатия кнопок"... достаточно замерить сколько паролей в секунду может перебрать программа, которая дергает ЛСА с условием, что отключено блокирование попыток и сколько переберет оно же через терминал... по моим оценкам сие будет на порядок-два медленнее...

Расскажите же скорее как понимающий унутренние механизмы ПАМа как оно работает... потому как от вас окромя "ни чего не понимаешь" и крывых определений понятия "вектор" мы так ничего и не услышали - покажите же себя во всей красе... глядишь и договоримся на написание бумаг по конформансу...

на П.С. - кайф... "и эти люди ругают меня за то, что я ковыряюсь пальцем в носу"...

2 Александр вторый: тебе 2 по аналитической геометрии... я вот подожду определения, что Vlad сделает (или отмажется как всегда), а потом запостю правильное определение из курса аналитической геометрии... (заметь-те, я еще не давал своего определения - не понятно с чего вы решили, что я его не знаю)
Короче - в сад

2 del: неа, не закрыли - почему? - вопрос не ко мне

класс - VPN это ssh

т.е. как мне настроить правило, что если мой босс, со своего нотебука хочет полезть в интернет посмотреть чего там и как, то у него должно быть 50% приоритета, а у остальных гавриков в офисе - 20%?

RPC не необходим для XP... он необходим, если мы хотим, чтобы XP была файл-сервером или еще каким сервером... как рабочей станции сие ей нах не нужно

Короче. Вы выше заявляли, что с помощью некой программы ломали за несколько часов пароль админа в Вин2КАС зайдя гостем. Я утверждаю, что вы наглый врун. Докажите обратное - дайте сноску/название на конкретную программу брутфорсер, которая это делает. Все ломалки что есть на той странице не позволяют этого сделать.

Угу - то же самое можно сказать и про БМВ, у которого нет ручки для заводки двигателя, если стартер не работает - ну привыкли вы так на жигулях делать, а тут нет - БМВ объявил стандартом тьму...

А если там веб-приложение авторизуется от базы данных или .htaccess - отбрутфорсим?

Управлять ИСАСервером можно очень тонко - можно и баннерорезку сделать, можно попросить работать в массиве, можно организовать иерархический кеш

Они не меняли исходники ядра (кто бы им дал), они написали дополнительную подсистему... как в свое время OpenNT написали юникс-подсистему, которая теперь входит в SFU
Решений для реалтайма до фига... ВинСЕ.НЕТ является системой жесткого реалтайма из коробки http://www.microsoft.com/windows/Embedded/ce.NET/evaluation/features/realtime... - доступна в исходниках :)... да и тула в инструментальном пакете позволяет без программизма делать имедж системы под конкретный процессор с нужными фичами (размеры от 400кбайт получаются - с сетью на дискетку влезет)

Ссылочку, что термин придуман в МСе и пришел от ИСА Сервера в студию!

Угу, благо у меня куча друзей - музыкантов - спроси их про пиратов - такой мат стоять будет, а про российское агентство по защите их прав - то же мат, только из-за того, что плохо защищают их права.

Скачивая МП3 и делясь ими с друзьями я нарушаю авторские права музыканта/композитора - вот РИАА и занимается защитой этих прав...

Правда-правда... Столлман хочет, чтобы при публикации нот композитор передал право исполнять его музыку кому угодно без выплаты авторского гонорара... т.е. возврат к ситуации с Моцартом - пока сам исполняешь - деньги есть... пришел заказчик - написал для него контату - денег заработал - заказчик дал 100 концертов на стадионе Уембли и заработал на билетах 10е7 баксов, а Моцарт в общую могилу...

1. см. ответ Vlad-у на ответ Vlad-а
2. вы просили подробностей что такое буффер оверран - я вам дал... вы хотите что бы я вам рассказал как работал какой-то эксплоит... сорри, но я уже потерял нить ваших вопросов - какой именно эксплоит вы хотите чтобы я объяснил вам как работает?
3. угу, свои средства - IPSec + поддержка VPN посредством PPTP & L2TP, оказывается не только для цигнуса ОпенШ сделан - вот и порт для СФУ есть... в исходниках - собирайте и наслаждайтесь
4. у меня машина сама апдейтится... и? чего я должен коментировать?
5. будете в Москве, заезжайте - потестируем
8. брутфорс по терминал-серверу гораздо медленнее, чем дергание ЛСА вызовов в винде - просто засеките сколько паролей в секунду он может перебрать - разговоры про день/другой прекратятся - именно по этому оно словарный перебор делает - вероятность найти "плохой" пароль за приемлемое время выше, чем при тупом брут-форсе
9. нет конечно
10. да нормально работало - человек 150 на этом сидело... я понимаю, что трудно это осознать, но вот пару наводящих вопросов: было ли время, когда П233 был самым крутым процом? была ли тогда ВиндовзНТ?
11. ну рассказывайте же свою правильную версию... почему я не могу дернуть какую-либо функцию в модуле динамическом не будучи рутом? мне на самом деле интересно как с этим борются в линуксе

В виндах юзер не может... даже админ не может просто так это сделать

13. в виндах есть защита от дурака - посему, как только вы хотите что-то поменять, вы должны понимать что вы меняете и как сие делается. Расскажите что вы понимаете под "гасить" сетевой интерфейс (это видимо общепринятый термин, придуманный линурасами? или введенный в обиход Торвальдсом?)... я подумаю как сие сделать

Про ПОСИКС мне ответели те, кто ничего не знал :)

2 jackill: вы не правы - так получилось не потому, что cmd был плох или там хуже sh/perl, у МСа до выхода МС ДОСа уже продавался ХениХ - нормальный юникс со всеми радостями подхода узелочного и коммандной строки с кучей мелких утилиток и пайпы/пайпы/пайпы...

Просто когда формировался подход МСа он в корне отличался от подхода других - задача "компьютер в каждый дом, на каждый рабочий стол", "информация на кончиках ваших пальцев"... посему ОС и другое ПО проектировалось и разрабатывалось для непрофессионального пользователя с точки зрения ИТ, но для профессионала в своем деле... и этому профи не нужно было заучивать кучу команд шелла или перла чтобы решить свои задачи. Насколько был эффективен данный подход показывает текущее состояние рынка ИТ - МС монополист, который платит дивиденды, имеет сток-сплит в то время, как его конкуренты борятся за выживание

Странно - МС по жизни стремился сделать все интегрированным и дешевым по цене - он работает на массовом рынке коробочного софта - посему Офис стоит дешевле чем два компонента в его состав входящие, SBS2000 для малого бизнеса стоит дешевле, чем В2к и Е2К входящие в его состав помимо ИСА Сервера и СКЛ Сервера (а также факс-сервера и еще кучи примочек).

П.С. дык ведь уроды... я про этот порт статьи еще 5 лет назад писал

2 Ikonta: про любую не скажу, в ВинХР вставляешь болванку - всплывает встроенный визард... под RR вы чего имели в виду?

ну в НТ4 была поддержка HPFS, так же поддерживается CIFS, CDFS и еще какие-то... про форматирование в предыдущей версии не скажу - я типа с виндами работаю, а не трахаться люблю

2 Сергей К.

1. я бы пошел решать эту проблему от системных политик - для начала запретил просто доступ к СД
http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b278295
заэнаблить эти настройки:
Hide these specified drives in My Computer (Enable this setting for A through D.)
Prevent access to drives from My Computer (Enable this setting for A through D.)
будет ли при этом играть музыка - х3 :) мне бы ваши проблемы
2. я бы в политиках безопасности четко прописал те программы, что им можно запускать, запретив все остальные
3. бекап/рестор скорее всего - делаешь бекап на диск - шлешь... на месте рестор... единственное что меня смущает - пользователи и там и там должны быть те же - доменные (то же имя и тот же пароль, но разные системы - не катит)

2 PTO

0. man iptables

Правило типа:

iptables -A INPUT -j DROP -i eth2 -s 192.168.1.8 -m mac --mac-source !00:02:B3:3A:97:4E

Для защиты от подмены МАС, есть скрипт который следит за активными

МАС в домене коллизий и блокирует хост с изменившимся МАС, плюс еще

админу жалобу кинет.

IPv6 - читаем про mbone, если интересно. IPv6 как нибудь

поддерживается в винде, ексчанде уже умеет слать почту прямо в IPv6

сети ? Сендмыл умеет уже года 2.

авторизоваться для всего траффика умеют 95% клиентских ОС в мире, авторизоваться для web-proxy все остальные тоже

Конкретно кто умеет ? *BSD based хосты умеют ?

>2 почему вы решили, что собирает ядро в ИСЕ? перед тем как фильтровать...

When Microsoft Internet Security and Acceleration (ISA) Server filters packet fragments, it drops all fragmented IP packets

Теперь смотрим на ATM , MTU ~ 16k, чтобы засунуть пакет в езернет

нужна фрагментация. Иса все фрагменты зарежет, если я правильно

читаю по аглийки, ну что будем делать ?

6. Забыл. Не умеет записывать содержимое пакетов в лог.

Например кто-то соединяется на 22 порт, нужно записать весь трафик

сессии, как это сделать на исе.

>5. я вам по-секрету скажу... у него фильтрация динамическая - т.е. клиенту надо - порт открыли, клиенту не надо - он сам закрылся... + настройки на работу с календарями... т.е. можно сказать, что на порно-веб сайты, к примеру, можно ходить тока до 8 утра и с 23 часов ночи... и никаких скриптиков писать не надо http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechno...

Посмотрел, херня полная, шедулер никому не интересен. Как динамически

менять правила при изменении ситуации ? Как автоматически закрыть SQL

порт, если за последние 120 сек, было 1.5 тыс попыток соединения ?

Посмотрел SDK к исе, его еще ведь и купить надо ?

ИМХО достаточно убого.

Как например зарезать на исе полосу с 2M/s до 64k/s для диапазона ип,

если они в течении 2 часов выкачали 85% суточного лимита трафика всей

конторы?

Весьма типичная задача.

Саныч

2 PTO

>про любую не скажу

Хорошо: любую из распростаненных (НЕ_ТОЛЬКО_В_МИРЕ_ВЫНЬДОУЗ).

>в ВинХР вставляешь болванку - всплывает встроенный визард...

Тогда вопрос: а если в предлагаемом визардом меню нет нужного мне пункта?

>под RR вы чего имели в виду?

Какие расширения стандарта ISO9660 знаете (вот вы не торопитесь указывать ваше понимание вектора, и я подожду, что вы скажете).

>ну в НТ4 была поддержка HPFS, так же поддерживается CIFS, CDFS и еще какие-то...

Еще бы не было поддержки HPFS и CDFS ;) Я про файловы системы HDD.

>про форматирование в предыдущей версии не скажу - я типа с виндами работаю, а не трахаться люблю

Да, а насколько я понимаю вы работаете только с последними версиями винды, а как вы же метко заметили "трахаться" с проблемой обратной совместимости программных продуктов m$ не любите.

Потерял немного нить суждения про флеш-карты, однако хочу кое-что
добавить. Недавно статью читал - в карточки под фотоаппарат обычно
идет fat16, однако можно переформатировать под любую ФС. Другой
момент, что сама железяка ничего кроме fat16 понимать не желает.

Вопрос 2: а кому, нафиг, нужна NTFS на дискете? Что-то я сомневаюсь,
что туда любую из журналируемых фс можно воткнуть.

2 Саныч:
" Читаем про эзернет бридж, нетбиос - это жаргон. Инет тут не причем, внутренный трафик тоже фильтруется." - дайте сноску? - "man iptables" - и где тут про эзернет бридж, жаргон... и нах мне фильтровать внутренний траффик, мы врод

вопрос: "у вас много сетей ipv6?"
ответ: "IPv6 - читаем про mbone, если интересно."

Мля, какой вопрос не задашь - ответа не дождешься... ну что стоило сказать - нету у меня ipv6 и еще долго не будет, потому как мне в моей конторке с сервером на ФриБЗД и 10ю тетками бухгалтершами которые кусаются нах это не нужно. И сендмейл поддерживает это или нет меня не волнует... и все были бы довольны...

Windows XP поддерживает ipv6 Из коробки, Windows 2000 после сервис пака... Эксч и ИСА с ним работать умеют.

2. Дык если галка стоит он их просто отбрасывает, т.е. отфильтровывает фрагментед пакеты как класс. Если галка не стоит, то они в ИСА собираются и едут далее по фильтрам пакетов.

6. А нах писать сие в лог - тут ДОС классический будет - как сканировать начнут, так лог переполнится... а на самом деле - в случае неправильной активности ИСА может послать письмо админу/в лог и т.п., в том числе запустить скриптик, который усе запишет...

Понятно - "посмотрел, херня полная" :)
Вы просто не поняли слова "динамическая"... никакой запрос не откроет порт - приложению надо - оно его открыло

СДК бесплатный

ИМХО вы нифига не понмаете в файрволах

2 Ikonta: не понял - то спрашиваете какой вин умеет писать на СД, потом просите "не из мира виндоуз" - вы уж определитесь - я по движущейся цели стрелять плохо умею

Какой пункт вам нужен?

а, это вы рокридж... я уж думал очепятались с rw-дисками у вас проблема (ХР и их умеет писать/стирать)
ну на вскидку есть рокридж, жойлет, гибрид... ХФС маковский к 9660 отнести наверное нельзя...
Винды пользуют джойлет вместо рокриджа - ХР без проблем пишет с данным расширением

А зачем НТе из коробки поддерживать какие-либо еще файловые системы - НТФС у нее покрывает усе что есть под линуксом легко и непринужденно по функционалу... я же просил сделать табличку - но вы сие замяли. Сделать поддержку какой-либо еще файловой системы не особенная проблема - вон народ уже сделал поддержку ext2 на рид/райт... приятель у меня вообще понаписал поддержку самых экзотических ФС для какого-то эмбеддед решения...

совместимость снизу-вверх обеспечивается... обратно никто не обещал собственно. НТ4 спокойно работает с НТФС5 от Вин2000

>не понял - то спрашиваете какой вин умеет писать на СД, потом просите "не из мира виндоуз" - вы уж определитесь - я по движущейся цели стрелять плохо умею

А мне кажется, что вы просто ограничиваете спектр рассмотрения форматами поддерживаемыми виндой из коробки.

>ну на вскидку есть рокридж, жойлет, гибрид... ХФС маковский к 9660 отнести наверное нельзя...

Правильно:)

>Винды пользуют джойлет вместо рокриджа - ХР без проблем пишет с данным расширением

С тем которое Jolliet? А мне нужно RockRidge. Как быть?

>Сделать поддержку какой-либо еще файловой системы не особенная проблема - вон народ уже сделал поддержку ext2 на рид/райт... приятель у меня вообще понаписал поддержку самых экзотических ФС для какого-то эмбеддед решения

А если не сделать (кстати, какие компилляторы идут в коробочной поставке винды. чтобы это можно было сделать?), а взять имеющиеся (опять из бокса)? Многое ли может предложить мелкософт?

2 РТО:

" Читаем про эзернет бридж, нетбиос - это жаргон. Инет тут не причем, внутренный трафик тоже фильтруется." - дайте сноску? - "man iptables" - и где тут про эзернет бридж, жаргон... и нах мне фильтровать внутренний траффик, мы врод

Фильтрация по МАС дает массу возможностей. Одна из них - борьба

со сниферами во внутренних сетях.

Вторая можно фильтровать ЛЮБОЙ протокол который который ходит через

мост.

Вы никогда не видели сетей в которых винды работают на уебищном

нетбиос в

одном дом. коллизий ? И когда в нем >50 хостов.

И как их разнести в разные подсети без моста ?

>вопрос: "у вас много сетей ipv6?" ответ: "IPv6 - читаем про mbone, если интересно."

Масса людей работают с mbone, и им нужна фильтрация IPv6.

>Мля, какой вопрос не задашь - ответа не дождешься... ну что стоило сказать - нету у меня ipv6 и еще долго не будет, потому как мне в моей конторке с сервером на ФриБЗД и 10ю тетками бухгалтершами которые кусаются нах это не нужно. И сендмейл поддерживает это или нет меня не волнует... и все были бы довольны...

Любезный, ведь здесь не ликбез и не лесная школа, интересно - читайте

сами.

В школе поиском пользоваться научили ? Тогда вперед.

Опять же при чем тут я ? Я вообще к этой конторе не имею ни

какого отношения, эту историю, заметьте весьма типичную, мне рассказал

знакомый админ.

>Windows XP поддерживает ipv6 Из коробки, Windows 2000 после сервис пака... Эксч и ИСА с ним работать умеют.

Где написано, что иса фильтрует по ип6 ?

2. Дык если галка стоит он их просто отбрасывает, т.е. отфильтровывает фрагментед пакеты как класс. Если галка не стоит, то они в ИСА собираются и едут далее по фильтрам пакетов.

Не может иса делать нормализацию и пакеты собираеть.

В юнихе и то эта фича появилась недавно. А раньше было как в исе,

блокируем фрагм./пропускаем.

6. А нах писать сие в лог - тут ДОС классический будет - как сканировать начнут, так лог переполнится... а на самом деле - в случае неправильной активности ИСА может послать письмо админу/в лог и т.п., в том числе запустить скриптик, который усе запишет...

Причем тут сканирование, в лог пишутся не попытки соединения,

а сами ип пакеты.

Данные ssh - сессии никогда не переполнят лог, а данные очень

интересны, даже человека можно узнать, по почерку :)

>Понятно - "посмотрел, херня полная" :) Вы просто не поняли слова "динамическая"... никакой запрос не откроет порт - приложению надо - оно его открыло

Порт открыть/закрыть - как реакция внешнего воздействия на систему.

В юних фильтрах очень гибкая система удалений/добавлений/модификаций

правил, рекомендую ознакомиться.

>СДК бесплатный

А платный есть с большим функционалом ?

ИМХО вы нифига не понмаете в файрволах

Да уж куда нам, мы все больше девок на самолетах катаем.

Вопросы по авторизации на исе и резке трафика я так понимаю остаются

открытыми ?

У меня достаточно сильный интерес к треду, вот в связи с какой

ситуацией.

В одной конторе, порядка 6-8 разных фирм выходят в инет чрез ису,

когда гиммор с ней превысил допустимые пределы, то встал вопрос

Кто виноват и что делать ?

Я посоветовал снести ису и поставить киску или юних (если найдут

спеца), одна из основных проблем - перерасход трафика, который

почему то не могут контролировать и тормоза при работе в инет.

Канал 2 или 4 Mb, не помню.

Ваше мнение ?

Саныч

2 Cаныч "Вы никогда не видели сетей в которых винды работают на уебищном нетбиос в одном дом. коллизий ? И когда в нем >50 хостов. И как их разнести в разные подсети без моста ?"

А вы про свитчи не слыхали ?

>ВУЗ не кончал, я его заканчивал :)
Какой, если не секрет? Просто интерестно...

>Судя по вашим определениям вас выгнали на первом курсе - как раз
>видимо аналитическую геометрию завалили. Открываю справочник - там
>2 определения вектора :)
Офтопик. Вектор - это упорядоченный набор чисел. Все остальные определения, насколько мне известно, не работают в бесконечномерном пространстве. :)

>Ок. перефразирую вопрос - есть ли настройки поведения ПАМа в части
>через сколько и насколько нужно тормозить?
Ага, конечно. А если Вам требуется более хитрое поведение задержек (экспонентоциальное увеличение) то можете написать свой модуль или подредактировать существующий. (Вот она сила опен сорс)

>2 del: неа, не закрыли - почему? - вопрос не ко мне
Нельзя утверждать, что 80% админов в мире - ламеры по рождению, правда? Можно утверждать, что 80% админов сделались ламерами, после того как поработали подольше с виндовс.

>класс - VPN это ssh
Вы не поняли. Я сказал, что траффик в интернете туннелируется и криптуется с помощью ssh, а все остальное решается с помощью iptables.

>т.е. как мне настроить правило, что если мой босс, со своего
>нотебука хочет полезть в интернет посмотреть чего там и как, то у >него должно быть 50% приоритета, а у остальных гавриков в офисе -
>20%?
Можно. Лоад балансинг и прайорити.

>RPC не необходим для XP... он необходим, если мы хотим, чтобы XP
>была файл-сервером или еще каким сервером... как рабочей станции
>сие ей нах не нужно
Ну-ну, вот у себя убиваю RPC, а винда мне и говорит, что какой-то гад убил RPC, без него работать не буду и через минуту перезагружусь, пошел обратный отсчет.

>Короче. Вы выше заявляли, что с помощью некой программы ломали за
>несколько часов пароль админа в Вин2КАС зайдя гостем. Я утверждаю,
>что вы наглый врун. Докажите обратное - дайте сноску/название на
>конкретную программу брутфорсер, которая это делает. Все ломалки
>что есть на той странице не позволяют этого сделать.
Не, я утверждал, что ломал винду, зайдя под нее обычным пользователем. И утверждал, что, скорее всего, это можно сделать и гостем.

>Угу - то же самое можно сказать и про БМВ, у которого нет ручки для
>заводки двигателя, если стартер не работает - ну привыкли вы так на
>жигулях делать, а тут нет - БМВ объявил стандартом тьму...
БМВ - надежная машина. Виндовс - нет.

>А если там веб-приложение авторизуется от базы данных
>или .htaccess - отбрутфорсим?
Если .htaccess написан правильно - то нет, там тоже есть задержки. Если веб приложение само спрашивает готовый пароль у СУБД и сравнивает в скрипте без задержек - то отбрутфорсите. А что Вы, собственно, хотели? Написал какой-то ламер себе кривую програмку без задержек, а Вы ожидаете, что умный линукс хитро извернувшись догадается, что тут проверка пароля и надо процесс в суспенд на пару скунд? :))

>Управлять ИСАСервером можно очень тонко - можно и баннерорезку
>сделать, можно попросить работать в массиве, можно организовать
>иерархический кеш
Ага, значит не сильно хуже сквида? :)

Т.е. в виндовсе, хотите сказать, хороший таск шедулер? Хм... Ну-ну, что эти придурки из QNX там себе делают... :)))

>Ссылочку, что термин придуман в МСе и пришел от ИСА Сервера в
>студию!
Ну Вы и агрессор. :) Ссылочку, что он не пришел из ИСА сервер в судию!

>Угу, благо у меня куча друзей - музыкантов - спроси их про пиратов -
> такой мат стоять будет, а про российское агентство по защите их
>прав - то же мат, только из-за того, что плохо защищают их права.
Ага, пираты - тоже плохо. Но и звукозаписывающие компании тоже себе большую часть дохода гребут.

>Скачивая МП3 и делясь ими с друзьями я нарушаю авторские права
>музыканта/композитора - вот РИАА и занимается защитой этих прав...
Формально, вы и напевая у себя на кухне нарушаете авторские права. Нет четкой границы между напеванием на кухне и передачей своему другу МП3.

>Правда-правда... Столлман хочет, чтобы при публикации нот
>композитор передал право исполнять его музыку кому угодно без
Да, согласен, Столлман несколько экстремален, я сказал это в самом начале разговора, но если мир подвинется немного в его сторону, то будет только лучше. Надо остановиться на золотой середине.

>1. см. ответ Vlad-у на ответ Vlad-а
См. ответ Vlad-а на ответ Vlad-у на ответ Vlad-а. :)
>2. вы просили подробностей что такое буффер оверран - я вам дал...
Нет, Вы просто рассказали, что можно переполнить буффер. А к чему это приведет и почему передается управление эксплоитному коду так и не сказали. И отнекиваетесь уже который пост, я же сказал сразу как только спросили. Должен Вам сказать, что если Вы не знаете, то так и скажите, не надо ломать комедию. Люди же смотрят. Не думайте, что Вы их обманули.

>3. угу, свои средства - IPSec + поддержка VPN посредством PPTP &
>L2TP, оказывается не только для цигнуса ОпенШ сделан - вот и порт
>для СФУ есть... в исходниках - собирайте и наслаждайтесь
Хм, я просил _штатные_ средства. А PPTP и L2TP, имхо, не подойдут, если все время меняется айпи. Хотя, тут я могу ошибаться.

>4. у меня машина сама апдейтится... и? чего я должен коментировать?
Т.е. винда лицензионная? Честно купленная?

>5. будете в Москве, заезжайте - потестируем
Угу. Только чего тут тестировать, и так понятно, что никаких логов об этом не ведеться.

Т.е. с 6-м согласны?

>8. брутфорс по терминал-серверу гораздо медленнее, чем дергание ЛСА
>вызовов в винде - просто засеките сколько паролей в секунду он
>может перебрать - разговоры про день/другой прекратятся - именно по
>этому оно словарный перебор делает - вероятность найти "плохой"
>пароль за приемлемое время выше, чем при тупом брут-форсе
И сколько-же? ИМХО, дофига.

>9. нет конечно
И просто прочитать реестр тоже?

>10. да нормально работало - человек 150 на этом сидело... я
>понимаю, что трудно это осознать, но вот пару наводящих вопросов:
>было ли время, когда П233 был самым крутым процом? была ли тогда
>ВиндовзНТ?
Был. Только был ли у ВиндовзНТ НАТ?

>11. ну рассказывайте же свою правильную версию... почему я не могу
>дернуть какую-либо функцию в модуле динамическом не будучи рутом?
>мне на самом деле интересно как с этим борются в линуксе
Я же говорил, что сможете. Только толку от этого не будет, код из библиотеки будет работать с правами пользователя, а их не хватит, что бы проверить пароль. В любом случае, если мы перенесем рассмотрение на более мелкие детали, все упрется в системный вызов read() на /etc/shadow (грубо), а это отрефьюзится ядром, т.к. код запущен с правами пользователя, а /etc/shadow - -rw------- root.root.

>В виндах юзер не может... даже админ не может просто так это
>сделать
А админа то за что?

>13. в виндах есть защита от дурака - посему, как только вы хотите
>что-то поменять, вы должны понимать что вы меняете и как сие
Ага, я и говорю, что пользователь априори считается дураком.

>делается. Расскажите что вы понимаете под "гасить" сетевой
>интерфейс (это видимо общепринятый термин, придуманный линурасами?
>или введенный в обиход Торвальдсом?)... я подумаю как сие сделать
"Гасить" - это жаргон из посведневной жизни. Выключить, задизаблить (disable).

>Про ПОСИКС мне ответели те, кто ничего не знал :)
Ну извините. А Вы хотите, что бы на этом форуме все всё знали?

РТО, мне кажется, я начинаю понимать Вас и Ваш образ мышления. Когда Вы учились в институте, т.е. когда только формировался Ваш образ мышления как компьютерного инженера, была популярна виндовс и никто альтернативы, собственно, не видел. Вы застали взлет и падение полуоси и у Вас сложился стереотип, что виндовс вечен и идеален. Дальнейшая Ваша жизнь ушла на культивацию любви к виндовсу и поиск доказательств самому себе о том, что виндовс был и будет лидером среди ОС. Так получилось, что Вы не можете выйти из круга Вашего мировоззрения и обратить Ваше внимание на другие операционные системы, кроме виндовс. Вы искренне негодуете, когда видите факты, которые свидетельствуют о преимуществе других операционных систем. Как же! Эти красноглазые линурасы посмели поднять руку на святое! И таким образом Вы всячески пытаетесь охаять другие ОС и вознести виндовс. На данный момент линукс - достаточно серьезная альтернатива виндовс, поэтому острие Вашей атаки направлено в данный момент именно на него. Поймите, я ни в коем случае не утверждаю, что линукс идеален. Более того, я признаю, что у него есть множество недостатков и ему есть чему поучиться у виндовс. Но должен сказать, виндовс удерживает на серверах исключительно или инертность людей или инертность ПО, я имею ввиду связку COM и ASP, т.к. на данный момент множество софта написано с использованием этих технологий, и если ASP достаточно просто перекомпилируется в PHP, то перевод COM очень болезнен. Но будте уверены, это пройдет; современные технологии все больше и больше склоняются в сторону корбы, благо сейчас появляются достаточно полные бесплатные реализации. Что-ж, .NET может спасти виндовс от полного вымирания, т.к. он платформонезависим и если большинство оборудования переползет под другие ОС, останется возможность интеграции их с виндусовыми платформами посредством .NET приложений. Кажется, гейц понимает это, не даром он объявил о переезде .NET под фрю и поддерживает проект mono.
Буду рад ошибиться по поводу Вашего мировоззрения.
С уважением,

РТО:
Ты своими постами выше показал что ты слишком туп, чтобы с тобой стоило
общаться. Мои тебе соболезнования.
 Но ткну тебя в дерьмо еще на прощание:
   А  я  там  не  давал  определения  - я давал подробности для человека,
   который их просил
нет, у тебя просили определение и ты сам анонсировал свой бред как
определение.
   Ок.  перефразирую  вопрос  -  есть ли настройки поведения ПАМа в части
   через сколько и насколько нужно тормозить?
Если вдруг это кому-то еще интересно (РТО, ты все равно ничего не поймешь -
можешь не читать дальше):
man pam_set_fail_delay
       The  function,  pam_fail_delay(3),  is  used  to specify a
       required minimum for the length of the failure-delay;  the
       usec argument.  This function can be called by the service
       application and/or the authentication  modules,  both  may
       have  an  interest in delaying a reapplication for service
       by the user.  The length of the delay is computed  at  the
       time  it is required.  Its length is pseudo-gausianly dis-
       tributed about the maximum requested value; the  resultant
Надо просто вставить в стек system-auth модуль который будет делать
задержку если стандартная (2 сек) не устраивает.
 Крепкого душевного здоровья тебе, РТО!
-Vlad

2 PTO:
>Ваше определение вектора не дотягивает даже до школьного... и эта, определения бывают разные - в школе, в курсе аналитической геометрии, потом в верхних математиках, в физиках... не факт, что школьник по определению вектора поля поймет о чем идет речь...

Тебе Vlad дал нормальное определение вектора, да и я тоже. Кстати, что ты подразумеваешь под "вектором поля"? Пока думаешь чтобы такого демагогического ответить, приведу тебе несколько определений вектора:
"Векторной величиной, или вектором (в широком смыле), называется всякая величина, обладающая направлением." - М.Я. Выгодский, СПРАВОЧНИК ПО ВЫСШЕЙ МАТЕМАТИКЕ, М., 1973 г., стр. 116-я.
"Величины же, значения которых определяются как числовым значением, так и направлением в пространстве, называются векторами (например, скорость, ускорение, сила, напряженность электрического и магнитного полей и т.д.)" - Бронштейн И.Н., Семендяев К.А., Справочник по математике для инженеров и учащихся втузов. - 13-е изд., исправленное. - М.: Наука, 1986 г. - стр.386-я.
"Понятие вектора как величины, характеризуемой - в отличие от скаляра - не только числом, но и направлением в пространстве, соответствует многим явлениям физической реальности." - Никольский В.В., Никольская Т.И. Электродинамика и распространение радиоволн: Учеб. пособие для вузов. - 3-е изд., перераб. и дополн. - М.:Наука., 1989. - ISBN 5-02-014033-3 - стр. 11-я.
" Все величины, имеющие направление, подобно шагу в пространстве, называются векторами." - Р. Фейнман, Р. Лейтон, М. Сэндс - Фейнмановские лекции по физике,  М.: МИР, 1977 г., т.1&2,-стр. 203-я.

Надеюсь, этих определений достаточно? Или у тебя есть принципиально иные? Хотя у тебя, судя по твоим изречениям ("верхние математики, физики":-)))), возможно все. Можно строить различные предположения относительно твоего образования, ясно одно - и в школе, и в ВУЗе ты учился так себе, если не сказать хуже. Молоть языком ты научился классно, но язык мозги не заменяет, и наоборот.
Так что, как завещал великий Ленин! В детский САД, короче!

P.S. Сформулируй нам всем определение (понятие) поля с научной точки зрения. И прокомментируй "на пальцах".

А сколько стоит хороший свич на 50+ 100 МB портов ?

Хороший == производительность внутренней шины >= 2-4 Gb/s

Саныч

2 Саныч A че дорого ? Лучше ИСА сервером было бы сеть сегментировать ? :)

1. Про запрещение доступа к CD - а они пропадут только из Мой Компьютер или отовсюду (то есть даже программы не смогут их открыть)? Хотелось бы также спрятать data-cd только от некоторой группы юзеров, а не от всех - как это можно сделать?

2. А не могли бы Вы подсказать как можно настроить такую политику (чтобы можно было все кроме нескольких пускать - и именно исключить программы с /любого/ вставленного компакт-диска, а не с какого-то одного конкретно)?

3. Подскажите пожалуйста программу которой можно делать такой бекап. Позволит ли она сделать бекап только этого каталога, а не всего диска? Можно ли будет вытащить из этого бэкапа индивидуальные файлы, а не весь архив? И насколько я Вас понял - все пермишены сохраняться только если мы перенесли систему того же домена? А если в другом месте развернуть этот бэкап - что будет - пермишены будут просто потеряны, или они остануться, но будут ссылаться на случайных пользователей и группы?

Спасибо. Сергей К.

Alexandr2, а нет ли у Вас возможности попробовать еще следущую идею:
Узнаем через WinSpector (или как он там называется) ИД какого-либо окна
чужого приложения (желательно пущенного с правами  localsystem), и
получив этот ID с комм. строки, устанавливаем ему заголовок через
SetWindowText  длиной мегабайт 10.
 Автор Shatter экплойта выразил гипотезу что так можно завалить любое
приложение (так как будет переполнен его стек).
 Нет ли у Вас возможности написать такую програмку и проверить, завалит ли
она любую программу
1) на своем десктопе
2) в другой терминальной сессии?
Я винду уже совсем забыл, посему мне будет очень трудно это написать (да и
всякие компиляторы покупать, ставить - муторно).
PS: в предыдущем посте я цитировал man pam_fail_delay а не
'man pam_set_fail_delay', сорри за ту опечатку.
-Vlad

2 Ikonta:

конечно ограничиваю форматами из коробки - нах ему писать диски, которые сам прочитать не может?!

Ой, вроде в первый раз за мое пребывание здесь кто-то сказал, что я правильно ответил :)

Берете диск из поставки вашего СДРОМа и ставите с него программу, которая идет в комплекте - там в большинстве случаев сейчас идет Неро

В коробке не идут - это ОС, а не средство разработки. в Visual Studio есть куча разных компиляторов + еще куча народа делает для разных других языков. Из бесплатных работает gcc без проблем (если можно назвать это работает и без проблем, конечно :))
После установки СП1 ставится .НЕТ Фрайморк - там компилер для ДоДиеза
Коробочные Файловые системы есть - http://www.paragon.ru/ext2fs/rus/ поддерживается ext2 и ext3 в платной версии на чтение и запись

Еще раз спрашиваю - нах МСу поддерживать чужие кривые ФС, когда его НТФС имеет больше функционала, чем они все вместе взятые? Табличку бум рисовать?

2 Саныч:

Интересно - как фильтрация по МАКу может помочь бороться со снифером во внутренней сети - отсюда и по-подробнее...

Знаете чем отличается MCSE от красноглазого линураса?! тем, что он в обязательном порядке сдает экзамен Network essentials - после этого можно быть уверенным, что человек не будет рассказывать про коллизии и прочее, про борьбу со снифферами и организацию бриджей для этого

Еще раз повторю: >вопрос: "у вас много сетей ipv6?" ответ: "IPv6 - читаем про mbone, если интересно." - Масса людей работают с mbone, и им нужна фильтрация IPv6.

Саныч - у вас МНОГО СЕТЕЙ ipv6, мне не надо рассказывать про массу людей - каков ваш экспириенс работы с ними. В чем отличия фильтрации ipv6 от классического ИП? Какой Интернет-провайдер вам выдает ipv6 на выходе?

"В юнихе и то эта фича появилась недавно. А раньше было как в исе" кайф! если в линухе такого нет или тока-тока появилось, значит такого в винде просто быть не может... религия мля, логика бесполезна

Ну вот смотрите - я сканирую порты - один из них, тот, что вы хотели мониторить - начали писать пакеты в лог... сканирую долго... в логе все больше и больше данных... бумц и все...

Как иптаблес может определить, что идет сканирование портов и заблокировать весь траффик в эту сторону? автоматически, из "коробки"

Данные в 99.99% случаев бесполезны, потому как в 99.99% случаев скан будет идти более-менее известным скриптом или вирусом/трояном. гораздо важнее определить откуда идет и заблокировать оттуда атаку, чем пытаться по почерку Retina (к примеру) определить Вася или Петя нас сканировал

Угу, в ИСА сервере очень удобная и гибкая система изменений настроек фильтров

А зачем СДК платный, когда бесплатного хватило на написание туевой хучи примочек третьими фирмами... http://www.isaserver.org/software/ тут вот списочек есть

Еще раз - авторизоваться могут на ИСА Вин95-ВинХР, что 95% всех десктопных ОС

Ну дык может вызвать настройщика ИСА сервера, собрать статистику кто переберает траффик и наказать?

2 del:

МАИ

ок. Вектор:

1. Геометрический В.- направленный отрезок. Начало В. называют точкой приложения (конец это куда смотрит направление). Каждый вектор определяет параллельный перенос пространства.

2. В. - элемент линейного пространства. При этом для непустого множества элементов:
1. задан закон соответствия суммы векторов (элементов)
2. задан закон соответствия произведения вектора на число
3. для любых элементов выполняются условия (аксиомы):
а) коммутативность
б) ассоциативность
в) существование нулевого вектора (х-вектор + 0-вектор = х-вектор)
г) существование противоположного вектора
д) 1*Х=Х вектор
е) ассоциативность относительно умножения чисел
ж) дистрибутивность умножения на число относительно сложения векторов
з) дистрибутивность умножения на вектор относительно сложения чисел
Аналогично определяется и комплексное линейное пространство
Линейное пространство имеет следующие свойства:
1. есть единственный нулевой вектор
2. есть единственный противоположный вектор
3. 0*Х-вектор=0-вектор
4. (-1) * Х-вектор = отбратный вектор
5. а*0-вектор = 0-вектор
6. если а*х-вектор = 0-вектор и х не есть 0-вектор, то а=0

Множества свободных векторов на прямой, плоскости и в пространстве, изучаемых в аналитической геометрии есть примеры линейного пространства.

Т.е. можно настроить ПАМ, что не будет задержек?

80% это отуда такая оценка?

как в ип-таблес делать лоад-балансинг и приорити (по пользователю и приложению с которым он работает?)

ХР может упасть непатченная если включен RPC-Locator (сорри за описку)... у меня он выключен и винда работает как ни в чем не бывало (так по-умолчанию)

Ну ок. расскажите как вы ломали винду, какой программой, что через несколько часов у вас был пароль админа... даже если вы зашли гостем.

Если бы БМВ был так же надежен как Винды, то я бы наверное был бы счастлив, а приятель мой так вообще не имел бы проблем в жизни...

а как можно написать /htaccess "неправильно"?

ну а если кривое виндовое веб-приложение позволило его отбрутфорсить - то виноват конечно виндоуз... классаная логика

Она лучше сквида - по крайней мере по критерию прайз/перфоманс... мы это с Vlad-ом уже обсудили

Шедулер хороший... насколько хорош шедулер в 2.4.хх, где хх<17? :)

Вы РИАА и звукозаписывающие компании не путаете? Дык они деньги берут совершенно понятно почему... на зднет-ру уже флейм по этому поводу был

Формально напевая что-то на кухне я не нарушаю прав... напивая сие на концерте без отчисления денег или делая копию _не_для_личного_использования_ нарушаю. МП3 классический вариант делания копии не для личного пользования в случае его пересылки куда-либо. Я вот перегнал часть любимых своих дисков себе на комп и слушаю их в коммандировке - сие абсолютно законно... но если я выложу свою коллекцию - РИАА на меня обидится

Таки еще раз спрашиваю - про какой конкретно эксплоит вам рассказать?

Можете и ошибаетесь

Да сколько можно говорить - ВИНДА У МЕНЯ ЛИЦЕНЗИОННАЯ, а также еще куча софта, который нужен мне или моей жене для работы... даже игрушки у меня усе-усе лицензионные.

Ну таки тестировать бум или нет? когда у вас Н1-Б заканчивается? приезжайте

по п.п. 6 - я сказал чем меня он не устраивает - плохостью данной ФС... я не хочу заниматься поднятием сервера за тридевядь земель и бутиться там с компакта

8. я не понял чего вы хотели сказать

9. только то, что ему можно читать

10. угу - фриварный вроде НТНат назывался

Админ в виндах не есть Бог... ему многое запрещено :)

13. на дверях в метро написано "не прислонятся" - означает ли, что руководство метрополитена считает всех своих пассажиров дураками?

ну и какие проблемы по расписанию делать дизейбл сетевого интерфейса - wsh в руки и вперед, далее в шедулере делается задание и усе

Извеняю... добрый я сегодня... странно, на этом форуме 10 человек все про линукс знать не должны, но вот с меня про вин ответа на любой вопрос требуют :)

Я вас разочарую... когда я учился в институте, я работал параллельно в КБ им. П.О.Сухого... работал на VAX VMS и мне оно очень нравилось... когда вышел НТ было видно, что это следующая инкарнация ВАКСа... Помимо сих достойных систем я работал/программировал/делал решения-проекты на самых разных ОС, в т.ч. на больших юниксах, был проект для AS/400... колупались с линуксами, но в основном в целях интеграции с ними или с поднятием заваленного нашими предшественниками проекта.

Посему тут не инерция, а здравый скепсис и практицизм помноженный на врожденный цинизм.
Я уже много лет собираю колекцию прогнозов скорого умирания МСа/Виндоуза... вы какие-либо сроки можете наметить...

2 Vlad: идите в Сад! В Сад!

++++++++++++++
>2. Переполнение буфера - ошибка, связанная с неправильным
>обращением с оперативной памятью и приводит, в большинстве случаев,
>к краху программы... можно еще говорить о переполнениях стека, хипа
Так, и поподробнее, почему это деструктивно и как можно это эксплуатировать.
Переполнения стека? хипа? А вот с этого момента поподробнее.
++++++++++++++
Мой ответ:
A buffer overrun is one of the most common sources of security risk. A buffer overrun is essentially caused by treating unchecked, external input as trustworthy data. The act of copying this data, using operations such as CopyMemory, strcat, strcpy, or wcscpy, can create unanticipated results, which allows for system corruption. In the best of cases, your application will abort with a core dump, segmentation fault, or access violation. In the worst of cases, an attacker can exploit the buffer overrun by introducing and executing other malicious code in your process. Copying unchecked, input data into a stack-based buffer is the most common cause of exploitable faults.

Buffer overruns can occur in a variety of ways. The following list provides a brief introduction to a few types of buffer overrun situations and offers some ideas and resources to help you avoid creating new risks and mitigate existing ones:


Static buffer overruns
A static buffer overrun occurs when a buffer, which has been declared on the stack, is written to with more data than it was allocated to hold. The less apparent versions of this error occur when unverified user input data is copied directly to a static variable, causing potential stack corruption.

Heap overruns
Heap overruns, like static buffer overruns, can lead to memory and stack corruption. Because heap overruns occur in heap memory rather than on the stack, some people consider them to be less able to cause serious problems; nevertheless, heap overruns require real programming care and are just as able to allow system risks as static buffer overruns.

Array indexing errors
Array indexing errors also are a source of memory overruns. Careful bounds checking and index management will help prevent this type of memory overrun.

Preventing buffer overruns is primarily about writing good code. Always validate all your inputs and fail gracefully when necessary
+++++++++++++++

Где ты дебил увидел просьбу дать определение?!

2 Александр второй: Номальное?
Это которое? вот это - "направленный отрезок в данном пространстве координат, незакрепленный в какой-либо точке (то есть он может перемещаться плоскопараллельно в этом пространстве)"... и этот бред отчисленного двоешника вы называете "нормальным" определением? - В САД! учидза, старадза и не сдавадза!

Числовое поле - любое множество чисел содержащее хотя бы одно число, отличное от нуля, и всемте с любыми двумя числами а и б содержащее их сумму а+б, разность а-б, произведение а*б и частное а/б (если б не равно 0). Примеры полей: множество Q всех рациональных чисел, множество R всех действительных чисел, множество С всех комплексных чисел.

Вопрос: образуют ли множества N (натуральных чисел) и Z (целых чисел) числовое поле?
Кроме числового поля рассматривается также общее понятие поля, элементами которого не обязательноя являются числа.

Векторное поле - определяется векторной функцией точки пространства. Пример - электрический заряд создает вокруг себя электрическое поле, на каждый заряд помещенный в некоторую точку поля действует сила, вполне понятная по направлению и величине... чей закон это, двоешники?

2 del: поправка - не обязательно гостем... как брутфорсили зайдя простым пользователем.

2 Сергей К:

1. пропадут отовсюду - в ворде тоже не будет видно. читайте доку про политики безопасности - там все по пользователям задается или по OU
2. запретить все, оставить только то, что можно
3. встроенный в винды бекап/рестор. можно и каталога/файла делать, можно по отдельности вытаскивать, при распаковке вы можете сказать "забудь про пермишены". Особую осторожность я бы проявлял при работе с зашифрованными файлами - можно остаться без пользователя и его сертификата (а также без сертификата рековери агента) и более файл не дешифровать :)

2 Vlad: горячо поддерживаю! Александр, уважте нашу просьбу! Vlad не может этого написать, а британец не дает - там же делов на 5 минут, можете даже без форматирования постить - как есть!

ДА ничего, мы на описки не сердимся и к этому стараемся не предираться - что мне надо, я про ПАМ уже прочел.

P.S. блин забыл сноску на откуда определения математических терминов и понятий: Математический словарь высшей школы под редакцией Богданова 2-е издание

2 PTO

>конечно ограничиваю форматами из коробки - нах ему писать диски, которые сам прочитать не может?!

Супер-пупер лицензионнная, вся из себя перепатченная винда в натуре не должна поддерживать никаких форматов/стандартов, кроме родных. Вы это хотели сказать?

Кстати, как вынь2003 с поддержкой расширения RockRidge?

>Берете диск из поставки вашего СДРОМа и ставите с него программу, которая идет в комплекте - там в большинстве случаев сейчас идет Неро

А если у меня на нюру аллергия. Накушался глюков, эта тварь (в парке с выьдовозом) мне не один диск испортила. Только не надо говорить, что я не умею записывать диски.

>В коробке не идут - это ОС, а не средство разработки.

В случае выньдовоза за лицензию ты получаешь практически пустую оболочку для инструментов (которые тоже надо купить).

>в Visual Studio есть куча разных компиляторов + еще куча народа делает для разных других языков.

Сколько стоит это чудо?

>Из бесплатных работает gcc без проблем (если можно назвать это работает и без проблем, конечно :))

Какие претензии к gcc?

>Коробочные Файловые системы есть - http://www.paragon.ru/ext2fs/rus/ поддерживается ext2 и ext3 в платной версии на чтение и запись

А так чтобы без приобретения костылей сторонних производителей?

>Еще раз спрашиваю - нах МСу поддерживать чужие кривые ФС

!!! Вот оно ОТКРОВЕНИЕ. ЧУЖИЕ==КРИВЫЕ.

>когда его НТФС имеет больше функционала, чем они все вместе взятые? Табличку бум рисовать?

Будем. Только с рассмотрением ВСЕХ альтернатив мира Unix. И выяснится, что НТФС не столь хороша, как тебе видится.

Да нет, не особо. Проблема в том, что если он сломается

чинить его будут не менее 2-3 недель и заменить его особо не чем.

На исе принципиально нельзя сделать бридж, читаем внимательно.

Саныч

4PTO: я бы не стал сравнивать надежность BMW и винды.
Билл Гейтс как-то уже сказанул, что если бы форд развивался
как микрософт, то было бы всем счастье.
И, наверно, все помнят ответ главы Форда.
Я бы дал ссылку, если бы смог найти. У меня это где-то в архивах
валяется.
Билли, насколько я помню, утерся.

2РТО

>Я вас разочарую... когда я учился в институте, я работал параллельно в КБ им. П.О.Сухого... работал на VAX VMS и мне оно очень нравилось... когда вышел НТ было видно, что это следующая инкарнация ВАКСа...

Дык Вы вроде как в кооперативе подвязались за 1000 р. ?

НТ - следущая инкарнация ВАХа ? Я однажды видел ВАХ (на картинке)

нехилый такой набор ящиков, что нт на нем работала и как шустро ?

Следущая инкарнация VMS - OpenVMS ?

Саныч

2РТО

>P.S. блин забыл сноску на откуда определения математических терминов и понятий: Математический словарь высшей школы под редакцией Богданова 2-е издание

А что в МАИ математику по словарям учат ?

Вы еще про тензор из словаря перепишите :).

Определение поля просто бред какой-то.

Рекомендую: Ландау, Лившиц "Теория поля", только без словаря читать

тяжело наверно будет :)

Саныч

2 Саныч:

>Интересно - как фильтрация по МАКу может помочь бороться со снифером во внутренней сети - отсюда и по-подробнее...

http://www.robertgraham.com/pubs/sniffing-faq.html

1. dns: создаются многочисленные фиктивные соединения, снифер может попытаться отресолвить через днс адреса соответствующие хостам этих фиктивных соединений, антиснифер в это время ловит все запросы к днс'у 2. etherping: посылается пакет icmp с ошибочным mac-адресом. некоторые версии систем будучи в режиме перехвата такой пакет обработают, в то время когда он должен быть проигнорирован. т.е. если хост ответил , значит он кандидат в сниферы. 3. arp: работает также как и предыдущий - пакет arp содержит корректную информацию, за исключением mac-адреса, обчный комп такой пакет отбросит, комп в режиме перехвата его обработает и вернет ответ. 4. icmp ping latency: пингуем подозреваемого, запоминаем отклик, далее генерируем фальшивый трафик, далее снова пингуем подозреваемого и снова смотрим время отклика, если оно увеличилось, то вероятнее всего комп находится в режиме перехвата и обрабатывает фальшивые пакеты.

Фильтрацию пакетов, может делать фв, чтобы не анализировать весь

трафик в сети.

>Знаете чем отличается MCSE от красноглазого линураса?! тем, что он в обязательном порядке сдает экзамен Network essentials - после этого можно быть уверенным, что человек не будет рассказывать про коллизии и прочее, про борьбу со снифферами и организацию бриджей для этого

Знаю, большинство из них, за редким исключением - ДОЛБОЕБЫ.

А вот так работают профи:

"Я предлагаю для тех кто не хочет долго возиться с перепрограммированием стэка, hardware решение даной проблемы. И действительно,-скажете вы,-почему бы просто не взять и не обрезать провода по которым от терминала исходят фреймы ?? Дело в том, что если просто обрезать эти 2 провода (для UTP 10M Ethernet cable), с одной стороны это, как правило, PIN1 & PIN2, а с другой PIN3 & PIN6, так вот если их обрезать, то хаб или свитч не будет определять, что что-то на данный момент подключено к его порту, стало быть и не будет пропускать на него никаких фреймов, так как последний (хаб) не будет получать ни малейшего сигнала от терминала. Решение найти было нелегко, даже пришлось обратиться к помощи коллег, однако через "нехочу" было предложено не совершенное, но все-таки решение этой задачи. Не совершенное, потому что она только помогает сигналу доходить до хаба или свитча, но при этом фреймы не проходят проверку CRC несовпадений. Из-за этого и из-за нечеткости сигнала (5 MHZ), который будет проходить по кабелю, происходит сильное искажение пакетов. Поэтому, нам надо применить что-то вроде фильтра, который восстановит нормальное сопротивление на концах проводов, заглушит его колебание и предотвратит искажение. Будем исходить из того, что сопротивление на концах UTP кабеля должно быть порядка 100(Ом)(2 конца = 200(Ом)). Подробная схема приаттачена к статье. Значение конденцатора подсчитываеться по формуле a=1/(2ПRC), где для 10Mbit Ethernet: a=5M, R=200(Om), П=3,14..., C=150pF. Для 100Mbit Ethernet меняються значения a=50M и C=15pF, сопротивление резистора остаеться прежним. Это довольно неплохая идея, которая позволяет добиться желаемого результата. Вы сложили витую пару по схеме, и она готова к применению. Теперь вам лишь осталось настроить терминал, а в часности выбрать и установить ПО. Разумееться у вас могут появиться собственные идеи, и, наверняка лучше чем мои, однако я, пользуясь практическим опытом, расскажу вам о довольно хорошем методе, который я использую и по сегодняшний день. ИСТОРИЯ ПРАКТИЧЕСКОГО ПРИМЕНЕНИЯ Все началось с того, как я объяснил одному своему знакомому, который работает в небольшой компании по интернет-рекламе, преимущества использования технологии StealthBox'а."

Это тоже сниффер, но типа "хер поймаешь".

На курсах Network essentials сетевых админов учат таким вещам, на

фреймов, уровне резисторов кондеров и т.д. ?

>Еще раз повторю: >вопрос: "у вас много сетей ipv6?" ответ: "IPv6 - читаем про mbone, если интересно." - Масса людей работают с mbone, и им нужна фильтрация IPv6.

>Саныч - у вас МНОГО СЕТЕЙ ipv6, мне не надо рассказывать про массу людей - каков ваш экспириенс работы с ними. В чем отличия фильтрации ipv6 от классического ИП? Какой Интернет-провайдер вам выдает ipv6 на выходе?

А причем тут я ? Иса не умеет фильтровать ипв6 - тогда молчите в

тряпочку.

"В юнихе и то эта фича появилась недавно. А раньше было как в исе" кайф! если в линухе такого нет или тока-тока появилось, значит такого в винде просто быть не может... религия мля, логика бесполезна

Ну вот смотрите - я сканирую порты - один из них, тот, что вы хотели мониторить - начали писать пакеты в лог... сканирую долго... в логе все больше и больше данных... бумц и все...

Как иптаблес может определить, что идет сканирование портов и заблокировать весь траффик в эту сторону? автоматически, из "коробки"

"Из коробки" бывают только презики и пиво, или кривые поделки

от МС. Вы привыкли что все в одном флаконе, типа пиво налитое в

презерватив, а головой подумать не хотите.

Данные в 99.99% случаев бесполезны, потому как в 99.99% случаев скан будет идти более-менее известным скриптом или вирусом/трояном. гораздо важнее определить откуда идет и заблокировать оттуда атаку, чем пытаться по почерку Retina (к примеру) определить Вася или Петя нас сканировал

>Угу, в ИСА сервере очень удобная и гибкая система изменений настроек фильтров

>А зачем СДК платный, когда бесплатного хватило на написание туевой хучи примочек третьими фирмами... http://www.isaserver.org/software/ тут вот списочек есть

Полосу резать умеем ? Пример скрипта.

>Еще раз - авторизоваться могут на ИСА Вин95-ВинХР, что 95% всех десктопных ОС

Только вин-клиенты ? Тогда на хер сразу, у меня гетерогенные сети.

>Ну дык может вызвать настройщика ИСА сервера, собрать статистику кто переберает траффик и наказать?

Полосу надо уметь ДИНАМИЧЕСКИ РЕЗАТЬ, тогда и проблем с перерасходом

не будет.

Саныч

2 Cаныч Я ху...ю, дорогая редакция !

"Я предлагаю для тех кто не хочет долго возиться с перепрограммированием стэка, hardware решение даной проблемы. И действительно,-скажете вы,-почему бы просто не взять и не обрезать про.......

Можно ссылку на эту хрень ?

Ладно я сам нашел :)

http://www.cvalka.net/hack/bugtraq/read.php?file=55&dir=

Очень показательный домен :)

Короче, продолжение

"В то время я еще не имел практического опыта в использовании даной спецификации, и поэтому когда друг попросил помочь сделать ему подобную в офисе на 28 машин, я пришел в недоумение... особенно при маленьких финансовых расходах. Имея всего 300$, был выбран оптимальный вариант, который имел отличную производительность и мог справляться с обслуживанием сети на 28 ПК. Это была машина PII-300, 32mb ОЗУ, 40mb HDD, Surecom 100Mbit NIC, IBM SCSI-HDD 18GB(MS-DOS-Implemented). Разумееться скаси винт был просто находкой, хотя он был самой дорогой частью несмотря на его б/ушность (дело в том, что IBM больше не выпускает даную серию, и на день его покупки тоже не выпускала). Из-за диска, денег на монитор не хватало, да он впрочем тут и не нужен был. Поскольку диск был оптимизирован для работы под мс-дос (гы... хз зачем под мс-дос 18gb ;)), первоначальной идеей было достать с помощью связей в мсофте сурсы мс-дос 7.0. Сказано - сделано, только как оказалось сурсы были асмлеровскими, а из-за неумения глаза, при виде различных прерываний, немного повылазили 8). Странно, но седьмая версия скомпилировалась с первого раза, даже после того, как мы ее обкромсали до неузнаваемости. Роль снифера должен был играть tcpdump сделанный под 16-битную среду мс-доса, но после первой попытки он не пошел... и после второй тоже. Вероятно было обрезано не то, что надо... и драйвера под сетевуху тоже не работали... вместе с сетевухой ;). Вероятно с исходниками не было родного TCP/IP стэка, а как выяснилось поздже, в дистрибутив входил только IPX протокол, да и дистрибутив был для клиентов сетей Novell. Было решено поискать сурсы TCP/IP имплементации под мс-дос, и они были найдены, вместе с одной довольно интерестной и не менее надежной оболочкой под мс-дос под названием Kermit (все ссылки приведены в конце). С сервера на радостях было скачено все: binary, исходники, документы, апдейты, факи и даже index.htm ;)). После недолгих исследований (так я называю распаковку .zip архивов ;)) и бета-теста (чтения read.me ;)), было окончательно вынесено, что лучшего найти мы и не могли... Кое-что обрезав ;)), и изменив файл под названием msntcp.c (привожу первые строки файла: /* File MSNTCP.C #Main TCP protocol code for MS-DOS Kermit */) под свою конфигурацию, оболочка была заново скомпилирована и запущена с учетом некоторых дополнительных утилит, включая tcpdump. StealthBox был готов, и по вышеприведенной схеме работал отлично... работает и по сей день"

18 GB SCSI диск оптимизированный под МС-ДОС - это реально круто :)))

Саныч, может ну иx нахрен таких профи :) Уж лучше MCSE :)

2 Ikonta: супер-пупер лицензионная винда прекрасно справляется с родными форматами + с популярными чужими форматами ФС (та же ХПФС)... какая же ФС на Линуксе самая рулез до сих пор идут споры... вы говорите XFS - вон я сносочку давал - мол не надо ее в продакшн... Какой может быть смысл поддержки туевой хучи ФС для линукса?

Если у вас алергия, то кларитин говорят неплохо помогает

В случае Виндус я получаю полноценную ОС, а не комбаин, который без компилятора не живет дольше месяца

По-разному, по-разному... от 95 долл. за студию.нет для студентов, до 2673 долл. для энтерпрайз архитекторов

претензии к гцц? о боже! вы и по этому поводу хотите флейм развести?

а линукс это костыли или нет?

Ну так скажите-же скорее какие есть прямые ФС в Линуксе?!

Рисуйте табличку - показывайте какие ФС есть в Линуксе, портированные откуда угодно, хоть с ИРИКСа... какие функции, параметры надежности, рекомендации лучших линуксоводов приветствуются

2 jackill: я бы с радостью приобрел машину на условиях БГ... даже с условиями Фордовцев... если бы их "видение" сопоставлялось с реальностью...

2 Саныч:
я по 1000 зарабатывал еще до института...

VMS = WNT с добавлением 1ки к каждой букве :)
Внутри и архитектура очень похожа... да и делал тот же человек архитектуру, что писал до вакса RSX-11, которую я тоже очень уважал в свое время

Нет математику там учат по учебникам... а вот определения терминов лучше всего смотреть в словаре... многие так делают, когда слова русского смысл точно понять не могут лезут в словарь Даля или там БСЭ

Бред не бред, а копия словарной статьи... и там не просто поле, а "числовое поле"... можно еще открыть учебник по сельскому хозяйству и посмотреть определение "поля" там... вы чего сказать-то хотели... мыж тут за вектора все говорили

НУ давайте - вот стоит машина, на ней поставлен сниффер, слушает - мак-адрес у него законный... как бридж или там МАК-фильтр вам поможет слушать чего две соседних станции в хабе или на коаксиале между собой шлют? а он бороться только с ИП-траффиком будет?

Вот таких профи я и называю ДОЛБОЕБАМИ...

Да просто я люблю прикалываться на чудаками сидящими в маленьких конторках и приводящими аргументы за линукс из серии "мля, да вот СанФайр вас всех порвет - а там юникс, следовательно линукс рулез"... а сами этот СФ видели только на картинке на веб-сайте... или теоретик ipv6 начинает рассказывать как круто использовать ipv6 не понимая нах он нужен

ну я понимаю, что линукса "коробки" не бывает... у него вообще "коробки" обычно нет... так и как же иптаблес будет замечать сканирование портов или там син-атаку и блокируя траффик сообщать админу... как сие сделать без нудного программирования... какие фильтры поставить - может примерчик скриптика бросите если не очень большой?

Какого скрипта? вы чего больны - в ИСА полоса и приоритеты настраиваются в графическом интерфейсе... можно конечно и батничком сие делать, но меня сие ломает - проще на одном сервере настроить политику для всей компании и потом она расползется по куче разных серверов

Дык полоса и режется динамически... появился более приоритетный в данное время траффик - ему более высокий приоритет.
если хочется иметь фильтр, который будет квоты по-пользователям на потребленный траффик энфорсить - дык такое пишется за пару часов по готовому примеру...

2 anonymous (*) (2003-01-31 18:21:02.986): там внизу самое забавное:

Warning: Division by zero in /usr/home/hac/public_html/hack/bugtraq/read.php on line 54
Ошибка в скрипте.Ваша оценка.

Моя оценка - В САД!

2 PTO Я до конца не смог дочитать :) Сща схожу, оценю :)

Средняя оценка:Отвратительно :)

   Векторное  поле  - определяется векторной функцией точки пространства.
   Пример  -  электрический заряд создает вокруг себя электрическое поле,
Тебя, дауна, просили дать определение "вектора поля", а не  "векторного поля".
Разницу вообще понимаешь? Про остальное отпишу завтра.
-Vlad

>конечно ограничиваю форматами из коробки - нах ему писать диски,
>которые сам прочитать не может?!
Чтобы прочитать другие диски. Или апологеты виндовс считают, что они единственные в мире?

>В коробке не идут - это ОС, а не средство разработки. в Visual
Правильно, виндовс из коробки - это устройство для облегчения протирания дырки в коврике мышки. :)

>Studio есть куча разных компиляторов + еще куча народа делает для
Ага, только стоит он....

>разных других языков. Из бесплатных работает gcc без проблем (если
>можно назвать это работает и без проблем, конечно :))
А что не так с гцц?

>После установки СП1 ставится .НЕТ Фрайморк - там компилер для
>ДоДиеза
Это не входит в стандартную поставку.

>Коробочные Файловые системы есть -
>http://www.paragon.ru/ext2fs/rus/ поддерживается ext2 и ext3 в
>платной версии на чтение и запись
Это не входит в стандартную поставку и более того, стоит денег.

>Еще раз спрашиваю - нах МСу поддерживать чужие кривые ФС, когда его
>НТФС имеет больше функционала, чем они все вместе взятые? Табличку
>бум рисовать?
Рисуйте. Только до табличи не говорите, что другие ФС априори кривые.

>Знаете чем отличается MCSE от красноглазого линураса?! тем, что он
>в обязательном порядке сдает экзамен Network essentials - после
>этого можно быть уверенным, что человек не будет рассказывать про
>коллизии и прочее, про борьбу со снифферами и организацию бриджей
>для этого
Знаете чем придурковатый MCSE манагер отличается от высококвалифицированного пользователя линукса? Манагер только щеки надувает и не умеет ничего, кроме елозинья мышкой.

>МАИ
А факультет?

>1. Геометрический В.- направленный отрезок. Начало В. называют
>точкой приложения (конец это куда смотрит направление). Каждый
>вектор определяет параллельный перенос пространства.
Ага, геометрически верно, только не подходит для более общих пространств. Например пространство всех рациональных чисел. Какой нах отрезок!

>2. В. - элемент линейного пространства. При этом для непустого
>множества элементов:
Не, это требования к линейному пространству.

>Множества свободных векторов на прямой, плоскости и в пространстве,
>изучаемых в аналитической геометрии есть примеры линейного
>пространства.
Это не так. Вы забыли сказать множество _всех_ векторов.... По вашему определению, некоторое множество векторов (ну бросил я три вектора на плоскость) уже есть линейное пространство.

>Т.е. можно настроить ПАМ, что не будет задержек?
Можно, но придется повозиться.

>80% это отуда такая оценка?
Потому что, насколько мне известно, 80% СКЛ серверов подхватили последнего червя.

>как в ип-таблес делать лоад-балансинг и приорити (по пользователю и
>приложению с которым он работает?)
По приложению нельзя. Да и не совсем понятно, что есть приложение. Можно по пиду. Кроме того, все основные сервисы запускаются от своих пользователей. А если хочется фильтровать мозиллу по другому - сделайте ей своего пользователя.
Грубо.
chown mozilla:mozilla `which mozilla`
chmod u+s `which mozilla`
И она будет работать от пользователя mozilla.
Если это не устраивает, подредактируйте файлик mozilla (это скрипт), чтобы он вставлял в iptables соответствующий руль (rule) с пидом mozilla-bin (это сам бинарник мозиллы).
Рули состояи из двух вещей - matches и targets (мячи и цели :)), мячи пользователя:
[!] --uid-owner userid Match local uid
[!] --gid-owner groupid Match local gid
[!] --pid-owner processid Match local pid
[!] --sid-owner sessionid Match local sid
Лоадбалансинга обычно решается при поддержке iproute, но если надо, то можно решить только с помощью iptables, используя мяч nth или random. При помощи них же и решается прайорити.

>ХР может упасть непатченная если включен RPC-Locator (сорри за
>описку)... у меня он выключен и винда работает как ни в чем не
>бывало (так по-умолчанию)
А по дефолту включен. Свежепоставленная ХР валится от него.

>Ну ок. расскажите как вы ломали винду, какой программой, что через
>несколько часов у вас был пароль админа... даже если вы зашли
>гостем.
Ага, не гостем, а обычным пользователем. Гостем действиельно так просто не получится, мои извинения. А под пользователем надыбал с асталависты програмку, которая тащит закриптованый пароль и програмку, которая брутфорсит закриптованый пароль. Все просто. :)

>Если бы БМВ был так же надежен как Винды, то я бы наверное был бы
>счастлив, а приятель мой так вообще не имел бы проблем в жизни...
Хе-хе, колесо выполнило недопустимую операцию и будет убито. Обратитесь к разработчику. На скорости 100 км в час. :)) Тормоз нажать не представляется возможным, т.к. в данный момент происходит очистка свопа. :))

>а как можно написать /htaccess "неправильно"?
Ну, например всем все разрешить :) Я просто подстраховался на тот случай, если Вы мне предложите пустой хтаксес :)

>ну а если кривое виндовое веб-приложение позволило его
>отбрутфорсить - то виноват конечно виндоуз... классаная логика
Никогда такого не утверждал. Хотя, если отбрутфорсить виндовый пароль, то тогда да, виндовс виноват, если не ставилось целью сделать именно это.

>Она лучше сквида - по крайней мере по критерию прайз/перфоманс...
>мы это с Vlad-ом уже обсудили
Вряд ли сквид будет плох по прайз/перформанс хотя бы из-за того, что сквид бесплатен :)

>Шедулер хороший... насколько хорош шедулер в 2.4.хх, где хх<17? :)
А! Т.е. O(1) все таки лучше! :)) Тем не менее, это не реалтайм в полном смысле.

>Вы РИАА и звукозаписывающие компании не путаете? Дык они деньги
>берут совершенно понятно почему... на зднет-ру уже флейм по этому
>поводу был
Не смотрел. Не подкинете ссылку?

>Формально напевая что-то на кухне я не нарушаю прав... напивая сие
>на концерте без отчисления денег или делая копию
>_не_для_личного_использования_ нарушаю. МП3 классический вариант
>делания копии не для личного пользования в случае его пересылки
>куда-либо. Я вот перегнал часть любимых своих дисков себе на комп и
>слушаю их в коммандировке - сие абсолютно законно... но если я
>выложу свою коллекцию - РИАА на меня обидится
Хм, я сделал мп3 и положил в свою ФТП директорию. Я не давал его никому. Я не виноват, что у меня его взяли. Если Вы оставите диск с музыкой на лавочке в парке и его кто-то возьмет, Вы же не виноваты, правда. И когда я скачивал МП3, я хотел только послушать, и если понравиться, купить альбом...
Кроме того, таксист слушающий в машине музыку нарушает закон или нет? С одной стороны, он слушает только сам. С другой музыкой он привлекает клиентов, а следовательно заработывает на этом.

>Таки еще раз спрашиваю - про какой конкретно эксплоит вам
>рассказать?
Про любой. Меня интересует механизм, который обеспечивает возможность запуска кода.

>Да сколько можно говорить - ВИНДА У МЕНЯ ЛИЦЕНЗИОННАЯ, а также еще
>куча софта, который нужен мне или моей жене для работы... даже
>игрушки у меня усе-усе лицензионные.
Мда, да Вы маньяк... :) Вот почему Вы не любите линукс! Хотите Ваше капиталовложение сохранить :))

>Ну таки тестировать бум или нет? когда у вас Н1-Б заканчивается?
>приезжайте
У меня гринкард. Приеду, наверное, летом. Посмотрим...

>по п.п. 6 - я сказал чем меня он не устраивает - плохостью данной
>ФС... я не хочу заниматься поднятием сервера за тридевядь земель и
>бутиться там с компакта
В случае виндовс это так, но в случае линукс, согласитесь, требование бута с других ФС становится совсем не обязательным, хотя возможность присутствует.

>8. я не понял чего вы хотели сказать
Мне все-таки кажется, что терминал-сервис достаточно быстр для брутфорса. Во всяком случае, авторы брутуса так утверждают. Надо самому попробовать.

>9. только то, что ему можно читать
Угу, тогда понятно... А где выставляются эти пермиссии.

>10. угу - фриварный вроде НТНат назывался
И как, была ли возмрожность фильтрации, етц. Сравним ли он был с ipchains, хотя бы?

Про 11 ОК?

>Админ в виндах не есть Бог... ему многое запрещено :)
А зачем ему что-то запрещать?

>13. на дверях в метро написано "не прислонятся" - означает ли, что
>руководство метрополитена считает всех своих пассажиров дураками?
Да. Если кто-то выпадет из вагона, огорчиться метрополитен. А если в самолете, пилотом которого являюсь я поставят все автоматом и не дадут мне возможность искусственно увеличить, уменьшить тягу я очень сильно огорчусь.

>ну и какие проблемы по расписанию делать дизейбл сетевого
>интерфейса - wsh в руки и вперед, далее в шедулере делается задание
>и усе
И как же это сделать?

>Извеняю... добрый я сегодня... странно, на этом форуме 10 человек
>все про линукс знать не должны, но вот с меня про вин ответа на
>любой вопрос требуют :)
Ну так и скажите, хер его знает, а не выкручивайтесь.

>Я вас разочарую... когда я учился в институте, я работал
>параллельно в КБ им. П.О.Сухого... работал на VAX VMS и мне оно
>очень нравилось... когда вышел НТ было видно, что это следующая
>инкарнация ВАКСа... Помимо сих достойных систем я
>работал/программировал/делал решения-проекты на самых разных ОС, в
>т.ч. на больших юниксах, был проект для AS/400... колупались с
>линуксами, но в основном в целях интеграции с ними или с поднятием
>заваленного нашими предшественниками проекта.
Ну и что? Не подняли?

>Посему тут не инерция, а здравый скепсис и практицизм помноженный
>на врожденный цинизм.
>Я уже много лет собираю колекцию прогнозов скорого умирания
>МСа/Виндоуза... вы какие-либо сроки можете наметить...
Умирания, ИМХО, не произойдет. Просто МС отойдет в другие ниши. Как я уже говорил, ХБОКСы, клавы и мыши у них удались.