Эквивалентность серверных дистрибутивов

0

3

Я не спец в админстве серверов и вообще начинающий, но вот такой вопрос:
В SLES-10 bind работает(л) в chroot-окружении, а в Debian, о котором часто говорят как о серверном дистрибутиве, нет. При одинаковых версиях bind-а вариант SLES как бы безопаснее... да?
Не укладывается в голове, почему тогда все дистрибутивы, называющие себя (вызывающие слова о себе) серверными, не делают так же? Это же отставание от конкурентов и т.п.
p.s. Или chroot ничего не даёт...?

Ссылка

←	[JavaEE][EJB] История успеха

[картография] распознавание карт.

→

Именно, что конкуренция. У кого-то лучше одно, у кого-то другое. Все хотят стать самыми-самыми... Но и подходы разные, и ресурсы не одинаковые. Потому выбор остаётся за юзером

~~former_hokum~~
(28.05.11 18:00:41 MSK)

Ссылка

http://www.opennet.ru/base/sec/bind_chroot_debian.txt.html

~~helios~~ ★★★★★
(28.05.11 18:10:51 MSK)

Ссылка

>> Debian, о котором часто говорят как о серверном дистрибутиве

Это универсальная ОС, из которой никто не запрещает сделать серверную.

GotF ★★★★★
(28.05.11 18:20:15 MSK)

Ссылка

По умолчанию линуксовым сервером заведует человек, который сделает так, как удобнее.

abraziv_whiskey ★★★★★
(28.05.11 19:37:10 MSK)

Ссылка

Угу, это они зря.

Идеальных дистров, увы, нет.

Кстати, сильный необдуманный крен в безопасность тоже плохо.

true_admin ★★★★★
(29.05.11 01:03:42 MSK)

Ссылка

В ALT'e вообще все чрутнуто, даже vsftpd и тот чрутнут, наверное это им что то дает.

splinter ★★★★★
(29.05.11 01:32:31 MSK)

Ссылка

>При одинаковых версиях bind-а вариант SLES как бы безопаснее... да?

не обязательно. конечно, грамотно сделанный chroot помешает злоумышленнику воспользоваться уязвимостью bind'а, но что получет злоумышленник, даже если он этот bind сломает? Учётку named:named в которую не зайти?

~~drBatty~~ ★★
(29.05.11 03:35:28 MSK)

Ответ на: комментарий от drBatty 29.05.11 03:35:28 MSK

Через уязвимость в ядре выйдет из chroot...

An12 ★
(29.05.11 18:54:03 MSK) автор топика

Ответ на: комментарий от An12 29.05.11 18:54:03 MSK

>Через уязвимость в ядре выйдет из chroot...

т.е. уязвимость в bind'е, и уязвимость в ядре? и обе не закрытые? ну бывает... Можно ещё WindowsServer поставить :-)

Просто на любом сервере имеется множество других потенциальных дыр, на которые и надо обращать внимание в первую очередь. Я не думаю, что сервер с открытым ssh логин root пароль 123 долго простоит. Причём будет там bind в chroot'е - не играет особой роли...

~~drBatty~~ ★★
(29.05.11 20:29:56 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[JavaEE][EJB] История успеха

Talks

[картография] распознавание карт.

→

Похожие темы