Тем кто кричат про классную поддержку в СуСе - а какого хрена у них ПХП 4.0.6 - без всех патчей по безопасности до сих пор?

А про необходимость отсутствия компилира на продакшен сервере у меня вопрос: Какие самые действенные методы защиты, от юзеров которые имеют шел на сервере?
По моему административные, так как ЛЮБУЮ защиту можно обойти. А вот пилюле получать ни кому не хочеться

Анонимусу (2002-12-26 07:42:42.406)
"Вы, г-н Краусе, просто врете :-/ "
Вовсе нет. апдейты выходили к сюзе 7.0 до нынешнего дккабоя А этот дистр вышел осенью 2000 года. Он поддерживался больше 2 лет.
7.1 вышел ранней весной 2001. Все апдейты на месте.
ftp.suse.com/pub/suse/i386/update/7.1
Не стоит бросаться громкими словами и страшные рожи корчить.
2FreeBSD (*) (2002-12-25 21:30:08.914)
"Ладно, то, что gcc можно cgi скриптом запустить через апач я знаю"
Это апач. А так ли мало программ запускается от рута?

Любителям RPM-ов: Интересно.. тут написали что исходники легко заменить злоумышленнику.. А вот вопрос.. если я поменяю оригинальный RPM на свой с трояном.. кто быстрее заметит проблему.. те кто ставит програмы с исходников, а следовательно может посмотреть во внутрь.. или те кто ставит бинарник?.. А тем кому руками уже облом работать я могу посоверовать использовать операционку.. где почти обо всем за вас Большой Дядя позаботился..

>кто быстрее заметит проблему.. те кто ставит програмы с исходников, а следовательно может посмотреть во внутрь.. или те кто ставит бинарник?

О, еще один пионер завел старую пластинку. Правильный ответ: по барабану. Потому как в исходник смотри-не смотри, все равно ничего не заметишь, если хорошо спрятано. Громадная куча фирм, специально занимающихся поиском ошибок - уж они то наверняка смотрят исходники, но дырки до сих пор все новые и новые находят. Так неужели ты считаешь, что один отдельно взятый админ может, заглянув в исходник, найти троян? Явно слова человека, который этого никогда и не пытался делать.

>А тем кому руками уже облом работать я могу посоверовать

А тем, кому в облом головой соображать я вообще рекомендую продать компьютер и переквалифицироваться в управдомы.

dead_knight к RPM есть цифровая подпись... ну-ка поменяй и ее на десяти разных сайтах, я посмотрю...

2 dead_knight: Обраружит быстрее тот, у кого network sniffer есть и кто пользоваться им умеет. Линуксовые трояны (которые покамест все поставлялись спрятаными в исходниках и активировались при билде) обнаруживали именно так.

>dead_knight к RPM есть цифровая подпись... ну-ка поменяй и ее на десяти разных сайтах, я посмотрю...

Гы.. к исходникам тоже.. что не мешает компромитировать их... т.к. далеко не все проверяют ее...

Finder: Согласен по поводу отдельно взятого админа.. тем не менее, сложность определения трояна в бинарнике на порядок выше сложности нахождения его в исходниках программы...

to AVL2:

>А еще ты рутовую почту рутом читаешь...
>Меня всегда прикалывали юзера, которые в качестве пароля слово "пароль" >русскими буквами в английском регистре набирали. Ведь тоже свято верят, >что безопасность на высоте...

Нет, почту я рутовую забираю через pop3. Да и пароли у меня везде "кулаком по клаве".

to last anonymous:

А что, к исходникам нету подписи? По-моему везде помимо самих исходников разработчики выкладывают подписанный архив.

> 2 dead_knight: Обраружит быстрее тот, у кого network sniffer есть и кто пользоваться им умеет. Линуксовые трояны (которые покамест все поставлялись спрятаными в исходниках и активировались при билде) обнаруживали именно так.

отсутствие информации о скрытых возможностях бинарника не может гарантировать их отсутствие.. т.к. для получения списка всех заложенных в него функций необходима его декомпиляция.. т.е. приведение к исходному коду.. Кто знает сколько бы "открытий" было бы сделано, открой мелкомягкие исходный код своих программ.. Вспомните черный ход в Борландовском Interbase который и был обнаружен, если я не ошибаюсь, после открытия исходников...

>7.1 вышел ранней весной 2001. Все апдейты на месте.
>ftp.suse.com/pub/suse/i386/update/7.1
Т.е. древнее ядро 2.4.16 с известными дырками- это нормально?

"Т.е. древнее ядро 2.4.16 с известными дырками- это нормально?"
Я не пользуюсь сюзевыми ядрами. Но дело не в этом. Они ядра 100% пропатчили. Ядра что сюзи, что шапкины отличаются от ядер с кернель.орг. И это относится не только к ядрам. Посмотри на версии программулек.
Апач, например, после всех фиксов к 7.1 так и идет 1.3.19
А opennssl пропатченный все равно 0.9.6a
Вот так-с..
А типа хочешь поновее - собирай сам.

>>Нет, почту я рутовую забираю через pop3. Это шутка, или я чего не понял??

> А еще ты рутовую почту рутом читаешь...

ну ты, блин, прикололся. это не 5, это 10.

ps для тормозов: руту почту вообще не следует получать

В процессе компиляции glibc-2.3.x возникла проблема совместимости с программами, компилированными под предыдущими версиями glibc. Многие фунции были отнесены к версии GLIBC_PRIVATE, которой нет в более старых весриях glibc. В результате ни одна программа, компилированная в старых дистрибутивах, не работает с glibc-2.3.x. Буду благодарен, если скажете, как с этим бороться.

Спасибо

> Это шутка, или я чего не понял??

Нет, это не шутка. У сервера hostname super.server.biz, на сервере настроен почтовый сервер, для домена super.server.biz прописан MX. Вот и все.

>Нет, это не шутка. У сервера hostname super.server.biz, на сервере
>настроен почтовый сервер, для домена super.server.biz прописан MX. Вот
>и все
так в чей почтовый ящик приходит почта root@super.server.biz?
или стоит отдельный сервер fulltime, на который MX super.server.biz показывает?

Собственно, подтекст простой. На сервере рутом вообще работать не рекомендуется. Получать и читать почту рут (/var/spool/mail/root) не имеет права. Тем более собирать проги. Это работа вообще исключительно юзерская.
chown root:root /usr/bin/gcc ; chmod 0700 /usr/bin/gcc - верх безобразия...

Не скажу где (чтоб не думали, что это реклама), даже сборка РПМ от рута запрещена. ТОЛЬКО от пользователя и ТОЛЬКО (это уже по дефолту) в своем хомяке.

dead_knight не тупи, ладна? если не доверяешь бинарникам от того же редхата, то можно взять srpm и rpm --rebuil srpmтакойта. трояна можно засунуть всего одной строчкой + какой-то троян.c с трояном, упрятанный среди тысяч таких же файликов. можно подумать ты все сырцы пристально изучаешь на предмет троянов :)

я же ведь не ставлю апдейты, скачанные с мухосранска, а иду на сайт производителя этого дистрибута. будет у тебя несколько десятков серверов с постоянно обновляющимся софтом + нагрузка по поддержке девелоперов этого софта я на тебя посмотрю, как ты апдейты глибца будешь из сырцов компилять с предварительным изучением этих сырцов на предмет троянов :) и с установкой этой херни сырцовой на удаленный сервер, где "админы" - идиоты, могущие только ресет давить.

у меня уже были случаи, когда сервак был почти потерян. например почти никакие команды не запускались и удаленный логин был невозможен, только текущая консоль. спасали те самые рпм - откатывал назад...

SG

ещще - eto sila

s

> Ты с МС-овским саппортом общался? Вполне нормальный саппорт.
я три раза обращался. в основном все ответы сводились к "отформатируйте систему". 2 раза я так и сделал, но на 3 я не мог -это была машина дизигнера и чтобы всё переставить, пришлось бы потратить дня 3 min.
проблема была в том, что ослик (тогда еще 3.02) русские буковы ерез одну писал. в итоге я стряс с MS support списко dll которые на это могли бы повлиять - в результате стала печататься каждая 3 русская букова вместо каждой второй.;-)

> проблема была в том, что ослик (тогда еще 3.02) русские буковы ерез одну писал

Ага. Значит это было... Подожди IE4.0 вышел в апреле 97 года... Т.е. речь идет о 96 годе... Т.е. 7 лет назад... А что было в линуксе в 96 году? :)) Я это тоже могу вспомнить...

to AVL2:

> chown root:root /usr/bin/gcc ; chmod 0700 /usr/bin/gcc - верх безобразия...

А что в этом безобразного? обьяснения в студию, а то так - это пустые слова

Да, стоит отдельный сервер fulltime, на котором MX для super.server.biz. И все довольны.

а то что под рутом воще нех. ниче делать. Зачем тогда вобше кто-то кроме рута на сервере?давай сразу от него пускать.

to last anonymous:

Вот бл#, еще один недоумок. Ты мне скажи, откуда вы такие беретесь? Или прочитали где-то, что под рутом не рекомендуется что-либо делать, а то п#з$ец серверу сразу настанет и прилетят злые хаксоры и разломают все на%@й?

Ну так если ты такой умный, почему бы тебе не открыть /etc/passwd и не снести оттуда пару первых строк? Тебе ведь root вообще нахрен не нужен, я так понял?

Я работаю с UNIX'ами на протяжении 4-ех лет, и немало под root'ом. За все 4-е года сервера не разу не ломали (ну пользовательский доступ получали по FTP, но и то, это была не моя вина, а пользователей, которые в config.php своего любимого PHP-nuke использовали тотже пароль, что и на FTP). Так что бояться надо тупых и/или слишком умных пользователей, а не root'а.

а фрибсдишник дятел:))типа умный да?Ты знаешь я могу это с полным правом сделать.Так как уже полгода под рутом не заходил и не надо будет заходить.

>>А что в этом безобразного? обьяснения в студию, а то так - это пустые слова
Безобразия здесь слишком много, чтобы все их привести.
Для затравки пару:
1) гцц - большая коллекция сложных и больших программ. никто тебе не обещает их безупречную работу. никогда segfault при сборке не видел? запускать такую программу без смертельной нужды из под рута -сущая глупость.
2)обычно проекты собирают с помощью make.
Одна ошибочка типа rm -rf / temp/build/*.o в Makefile и вся твоя система в пролете.
ошибка может проскочить в неопределенной переменной и прочей обвязке.

Собственно, если это надо объяснять, значит объяснять ничего не надо...

RPM со сборкой от пользователя сильно бережет нервы и зарплату админу...

Насколько я понимаю, даже при сборке пакетов обычным пользователем, устанавливать эти пакеты (что-то типа 'make install' или 'rpm -i' или 'pkg_add') всё равно придётся делать имея UID == 0. Кто сказал, что при выполнении этих операций ничего типа 'rm -rf /' произойти не может? Вызов команды 'rm' в этот момент вообще более вероятен, а значит более вероятна подобная ошибка. Будете продолжать пугать народ или как?

Про почту для root-а. Всем особо умным читать `man 5 aliases`.