LOR/Security FAQ

скобку забыл 3.3: "Nessus (homepage - http://www.nessus.org, заслуживший "рекомендации лучших собаководов" в лице Jet Infosystems и ФАПСИ."

fixed

Ай-яй-яй! Реализация формальной модели безопасности в AltLinux Castle ни о чем не говорит, кроме (максимум) формального, то есть теоретического доказательства того, что он защищеннее. На практике админу может быть тяжело справиться с таким дистром (эта кстати в FAQ отмечено - Ок).

>> Память, процессорное время и многое другое управляется посредством Pluggable Authentification Modules - PAM.

А например в Slackware 8.0? ulimit еще не отменяли, а про него там даже не упоминают, хотя он для большинства UNIX есть.

>> 3.2 Сетевые IDS и снифферы под Linux. Предлагаю добавить в качестве рекомендации локальной IDS - PortSentry, а еще упомянуть модуль iptables отбрасывающий некорректные пакеты, тоже своего рода IDS. Еще стоит упомянуть о сопряжении IDS и Firewall, example: Snort+IPTables, а то не догадаются ведь.

В ссылки предлагаю добавить пару стандартов (для тех кому хочется по уму) - BS7799 (он же ISO-17799), BS7799:2, ISO-15408 (они же Common Criteria 2.0 - www.commoncriteria.org). Хотя это не обязательно.

saper, я согласен, что ни в какой формальной модели не учитываются exploits, так что предлагай, как переформулировать, хотя по моему мнению, надежность системы в целом, если она построена на формальной модели несколько выше, чем той, которая построена красноглазыми пионерами ( (c) Ogr :) )

про ulimit и стандарты добавлю, только от ulimit толку немного обычно IMHO. Разве что тот же apache ограничивать.

2oxonian: Не совсем понял про ulimit :-) вот ulimit --help:
ulimit: usage: ulimit [-SHacdflmnpstuv] [limit]

Что нового добавляют PAM для функций ограничения пользователя? По-моему это то же, но вид сбоку ...

Пропиши в profile пользователя ulimit и спи спокойно :)

ulimit надо перед shell вызывать. вот я о чем.