минимальные настройки секурити

> Достаточно ли закрыть стандартными способами Мандривы (mcc) всё, кроме ssh (и ping), или же мне надо заходить в дебри компьютерной безопасности?

достаточно.

я бы sshd все-таки перевесил бы со стандартного 22го порта куда-нить на 57891 или что-то в этом духе. и vnc тоже. спокойней будет. и не попадешь под бот-атаки перебора паролей. одна строчка в конфиге - а проблем на порядок меньше.

А лучше разрешить логиниться только с trusted адресов.

чем мешают подобные переборы , меня они даже забавляют. наблюдаю их по нескольку раз в сутки. они всегда используют примитивные логины/пароли. так что в этом нет ничего страшного.

Кстати по своему опыту считаю чтоб лучше чем думать про фаервол , лучше подумайте про обновления для системы. У меня машинка уже года три работает фактически без фаетвола , но при этом обновляется регулярно и никаких проблемм. а ломать пытались и даже не раз, тем боле что она на полноценной сотне живет... :)

Согласен, следить за обновлениями ВЫВЕШЕННЫХ в сеть сервисов крайне важно. Если вывешено минимально-необходимое количество общедоступных сервисов с разумными настройками - то можно и без файервола обойтись.

Но все-таки, если служебные сервисы убрать со стандартных портов - то боты систему будут просто игнорировать. Можно конечно забить на это, если логин типа HJ_8901zzdfJUFVN_saddgbv_T и пароль соотвествующий =) Хотя уязвимости с переполнением буфера все равно иногда нет-нет, да и проскакивают.

А, как известно, бережёного Бог бережёт... Меньше ненужного интереса к системе будет.

А еще есть такие сервисы-обертки, которые открывают доступ к порту только после определенной комбинации посланых пакетов, иначе порт не доступен, как будто на нём ничего и нет. Но это уже верх совершенства.

В iptables можно сделать port-knocking. Если не ошибаюсь, то на opennet была статья на эту тему.

>Но это уже верх совершенства ))) только минимум мало-мальски серьёздного руткита, к примеру сакита...