LINUX.ORG.RU
ФорумSecurity

Интересный факт об умолчальной безопасности linux


0

0

Аксиомой для всех считается тот факт, что linux гораздо безопаснее windows в умолчальной установке.

Не собирал информацию по другим дистрибутивам, но древний Red Hat 7.3 по умолчанию содержит пустые файлы hosts.allow и hosts.deny.

Отсюда следующие выводы: 1. Давать всем доступ при отсутствии настроек - это очень некорректно и это потенциальная дыра. Это по отношению к libwrap. 2. Если уж libwrap так себя ведет, то производителям дистрибутивов было бы логично по умолчанию закрывать эту дыру, что Red Hat, например, сделать не удосужился.

Вот тебе и безопасность.

Ответ на: комментарий от Teak

Почему бы и нет. Ведь разговор здесь не о багах (их и до сих море), а о умолчальных политиках бузопасности. Вы считаете, что Red Hat просмотрели такую вещь? Я думаю это было сделано в трезвом сознании. Сейчас все дистрибутивы идет с ALL : ALL в hosts.deny?

Кроме того, libwrap не имеет прямого отношения к Red Hat, т.к. что Ваша реплика не совсем корректна.

Harmont
() автор топика

а что в 7.3 работает через libwrap ? и почему вы рассматриваете erdhat 7.3, может тогда еще и windows 98 вспомним?

mator ★★★★★
()
Ответ на: комментарий от mator

Ну, в 98 если SMB и прочие нетбиосы не включать, то в силу ущербности стека TCP/IP умолчальная безопасность была гораздо лучше, чем в нынешних виндах.

dn2010 ★★★★★
()

Ну просвети нас, как их заполнить по умолчанию?

Shaman007 ★★★★★
()

> Аксиомой для всех считается тот факт, что linux гораздо безопаснее windows в умолчальной установке.
С чего вы взяли, что возможность подключения к сервисам является сама по себе опасной ?
Вы считаете, что hosts.(allow|deny) решат все проблемы ? Разве все сервисы до единого поддерживают libwrap ?

spirit ★★★★★
()

К тому же, на сколько я помню, RedHat при установке предлагает настроить firewall, что на много эффективнее (теоретически, практически не проверял), чем hosts.(allow|deny).

spirit ★★★★★
()

Сэр, вы идиот или вы над нами пошутить хотите?

Я администрирую Линукс сервера уже семь лет и ни разу не редактировал указанные файлы. Что самое странное, меня до сих про не взломали.

Если вы ходите telnet'ом на свои машины и думаете, что вас защитит этот трюк, то вы глубоко ошибаетесь.

birdie ★★★★★
()
Ответ на: комментарий от birdie

Не мешайте человеку делать великие открытия, мировые разоблачения и т.д.. :-)

lego_12239
()

Говорить о libwrap, как о средстве разграничения доступа, почти так же правильно, как называть BrainFuck промышленным языком программирования.

realloc ★★★★
()

про псевдонесекьюрность пустых /etc/hosts.allow и /etc/hosts.deny тебе уже обьяснили.

добавлю лишь то, что дистрибутивы общего назначения никогда и не претендовали на то на то, чтобы быть мегазащищёнными "искаропки" - скорее это конструкторы, позволяющие построить систему с тем уровнем защищённости, который_тебе_нужен/который_ты_способен_обеспечить - и всё. нужна предельно возможная параноидная безопасность "искаропки" - ставь специализированные дистры или OpenBSD.

>Вот тебе и безопасность.

такое впечатление, будто ты обнаружил, что после установки redhat 7.3 у тебя оказался поднят sshd с беспарольным рутовым логином, не меньше...

bsh ★★★
()

а разве пустые файлы - это разрешение доступа?
вроде как, всю дорогу "+" было разрешение.
man hosts.allow

A non-existing access control file is treated as if it were an empty
file.Thus, access control can be turned off by providing no access
contro lfiles.

Marmirus ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security