Ваше мнение о защите линукса...

0

0

Господа! Этот форум предназначен для общих вопросов о линуксе, вот я и хочу задать такую тему для беседы: В IPCHAINS-HOWTO вычитал такую фразу - " ...Linux является детской песочницей для хакера...". Ваше мнение - неужели все и в правду так прохо?

Ссылка

←	Блин!!! Люди!!!!!!!!!!!! Ну помогите с sendmail!! Будьте людьми!!!

FTP и SQUID :(((((((

→

Защита не хуже чем у winNT, но конечно ей далеко до идеала. ipchains - довольно неплохой простенький пакетный фильтр, по-моему он очень неплохо справляется со своими задачами.

anonymous
(25.06.01 15:41:09 MSD)

Ответ на: комментарий от anonymous 25.06.01 15:41:09 MSD

Гы! Ананис, ты воообще юзал ipchains для создания фаервола???
Слово "простенький" на основании чего собственно?

gdenis ★
(25.06.01 16:40:13 MSD)

Ссылка

Вооооообще юзал! Этот пакетный фильтр - stateless (в отличии, скажем от iptables) кроме того в файервол должны входить средства наподобии fwtk. Кстати ты себе представляешь, что например входит в firewall-1?

anonymous
(25.06.01 17:15:28 MSD)

Наверное, имелось в виду несколько другое...
Для чего служит песочница? Чтобы играться.
Так вот: Линукс для хакера - великолепная игрушка (как, впрочем, и любой другой *nix). В частности, потому (хотя бы), что отключить ICMP на уровне TCP/IP-стека, в винде, скажем прямо, довольно-таки затруднительно... ;-) Да и многие вещи о состоянии сети (к примеру), которые любой скрипт может получить, заглянув в /proc/net, в винде придется мазать жопу вазелином... ;-)
Конкретно ipchains предоставляет достаточную функциональность для безгеморрного администрирования распределенной сетки из пары сотен компов. То бишь, собственно, обычно-то и нужен файрволл по IP-адресам и по портам и нужен ещё маскарадер. Остальные фишечки разве что для извращенцев...

Да и вообще, конкретно ЗАЩИТУ нужно рассматривать КОМПЛЕКСНО. И, желательно, в контексте данной сети. Т. е., если ты повесил маршрутизатор на инет, DNS, WINS, файл-сервер, прокси да ещё и какую-нибудь БД на один комп (пусть даже если сетка всего-то из 2-3 десятков компов), то грить о какой бы то ни было защите сетки просто бесполезно. Ибо ЛОМАТЬ сетку становится совершенно необязательно - достаточно "сломать" любой демон с рутовыми правами...

~~R00T~~ ☆
(25.06.01 17:55:21 MSD)

Ответ на: комментарий от anonymous 25.06.01 17:15:28 MSD

Непонял. Нафига, если у мя есть ipchains ... -l и tcpdump ???
Мне наглядности хватает по самые помидоры :)

gdenis ★
(25.06.01 21:31:17 MSD)

Ссылка

Ответ на: комментарий от R00T 25.06.01 17:55:21 MSD

2ROOT: В основном согласен, но не хватает в ipchains защиты от ДоСа,
иногда сильно напрягают перцы с толстыми каналами %)

gdenis ★
(25.06.01 21:33:54 MSD)

Ссылка

2gdenis: Обычно вполне достаточно всё того же:

Вырубить ICMP. Тогда 90% мудаков, развлекающихся "ping -f" сразу отвалятся. Хост-то не пингуется => машины там нету... ;-) Типичная ламерская ошибка. ;-)

Далее, в ядре включается поддержка tcp_syncookies - многих из оставшихся тоже обрежет - просто перестав на время отвечать на пакеты с данного IP-адреса... Пусть думают, что "уронили". ;-)

Во-о-от. А дальше - САМОЕ трудное. Дальше идут кул-хацкеры, вооруженные флудилками на, скажем, web-страницы, которые генерит PHP-скрипт, который берёт инфу из базы MySQL... Вот это уже серьёзно. Как-то меня так флудили... PIII-600 с пересобранным из сырцов софтом просто отдыхал... Консоль через 15 секунд только на нажатую кнопку реагировала... ;-) И, собственно, для этого админ и нужен - вовремя локализовать атаку просто зафайрволлив супостата (или хотя бы выдернув шнур из киски... ;-) ).

~~R00T~~ ☆
(26.06.01 14:38:18 MSD)