Стоимость владение ALT Linux Master 2.2

Ну файрвол можно поставить на время установки апдейтов. Хотя встроенный виндовый (XP) AFAIR против M$BLAST ничего не умеет. :)

2AS: ты видимо не в курсе, но на WinXP SP1 фаервол на всяческих dial-up/vpn соединениях включен по умолчанию...:)

www.burn4free.com

2mikhail: насколько я помню - умеет, ибо не в мелкософте делался (они использовали движек sygate). :)

> ALT Linux сейчас плющит и колбасит

>>Аргументы в пользу первого у Вас, конечно же, есть? :) AP (*) (16.05.2004 15:24:32)

не, ну я тоже попробовал ALT Compact. Это не то, что можно назвать хрошим дистрибутивом.

И всё же кажется я как-то с ним на грабли напоролся в начале этого года и именно с M$BLAST'ом при обновлении с Windows XP Professional Russian без SP1 (все остальные черви не прошли).

> ты видимо не в курсе, но на WinXP SP1 фаервол на всяческих > dial-up/vpn соединениях включен по умолчанию...:)

Я слышал про эту фичу. :-) Но что-то мне казалось, что это план на очередной SP, а не в первом появилось... Не прав ? Это первое (кстати, а в 200x как с этим ?).

Что касается второго. Только dial-up/vpn ? А как же Lan ? xDSL с Ethernet-интерфейсом сейчас становится особенно моден, а лично мне PPPoE не сильно-то нравится...

Но у нас тут LAN 10 Mbit/s, провайдер ничего лишнего не файрволит, да и инет 5 Mbit/s местный и 1 Mbit/s загран.

А потом юзера виндовые форумы забивают сообщениями типа а почему P2P проги не работают?

2AS: неа, точно в SP1 появилось - недавно проверял. :) Полез по привычки ставить после установки у одного моего приятеля, а опа, сюрпрайз - уже стоит галочка...
В w2k - никак, ставьте внешний фаервол, благо их бесплатных как грязи... Тот же sygate personal firewall к примеру...
По поводу "только dial-up/vpn" - славу богу что именно так...:) Яб "порадовался" на работе, еслиб это не так было... А на счет xDSL - а куда ты там без PPPoE? Нравится-не нравится, а большинство ISP используют его для авторизации...:) Впрочем особо продвинутые берут что-нибуть в стиле D-Link DI-604/DI-704P/DI-707P/DI-714P+ за скромную сумму от ~40$ до ~100$, в зависимости от крутизны модели (голый роутер/роутер с принт-сервером/роутер с принт-сервером и точкой доступа Wi-Fi) и радуются жизни online forever, без всяких PPPoE соединений на компе... В данном случае NAT выполняет роль элементарного фаервола, к слову - вполне достаточного для большинства обычных юзверей, не страдающих параноей.

> По поводу "только dial-up/vpn" - славу богу что именно так...:)
> Яб "порадовался" на работе, еслиб это не так было...

Да, прикольно было бы. :-) Я как-то только со своей колокольни подумал. Вообще, как вариант, могли бы по IP определиться. Приватный - по-умолчанию нет. Реальный - для первого раза включили...

> А на счет xDSL - а куда ты там без PPPoE?

Как куда ? В интернет ;-)

> Нравится-не нравится, а большинство ISP используют его
> для авторизации...:)

Мы - нет. Пока удается вообще без авторизации обойтись. И, надеюсь, что и дальше справимся. Неохота лишних граблей...

> В данном случае NAT выполняет роль элементарного фаервола,

Без вопросов, но вот только некоторые предпочитают реальный IP...

2AS: а "вы" это кто? И как Вы в таком варианте вообще идентифицируете Ваших пользователей? PPTP/PPPoE имхо самый удобный вариант для этого...

"но вот только некоторые предпочитают реальный IP" - обычно до первой серьезной атаки... Потом все же начинают любить NAT+port forwarding...;)

Очень хотел бы порассказать о личном опыте владения ALT linux master 2.2.

Один очень уважаемый (тогда) мной человек порекомендовал мне ALT Linux (как потом оказалось не Master и не 2.2 :). Было это около года назад. Я, по глупой молодости моей, решился рекомендовать его на работе для закупки (а в конторе нашей Linux-server абсолютно необходим), сходил купил Master 2.2 на конторские деньги.

Матерился долго. Сам ставил. Долго. Началось с того, что сие чудо не пожелало брать с DHCP адрес. Следующим сюрпризом оказалось что для доустановки дополнительных пакетов, не входящих на первый диск нужно уже после установки в командной строке набрать apt-cdrom add поочередно для каждого диска (Эту информацию я, правда, потом нашел в мутной документации). Затем почему-то после доустановки какого-то пакета полностью пропало меню в KDE (или гноме, не помню). Как потом выяснил это 'фишка' режима установки 'эксперт'. Конечно, это не все увлекательные приключения, которые ждут терпеливого пользователя в плане установки и настройки этого замечательного изделия.

Дальше хочется упомянуть инсталлятор. Это недопеределанный древний мандрейковский исталлятор в котором есть режим эксперт, который не работает и не эксперт который почти ничем не отличается.

Упомяну и apt в связке с rpm. Завидным образом торможит.

Документация к этого неповторимого изделия заслуживает отдельного упоминания. Предлагается пять книг. Оказались по ~100 страниц дерьмового недоделанного местами перевода на русский язык. Много я там не прочитал, но упомяну "книгу" про CVS - кроме безграмотно переведенной терминологии о ее качестве говорят имеющиеся в них рисунки, все выполненные в виде _невыровненной_ ASCII-графики.

Счастливый пользователь Debian. Познал счастье когда устанавливливал ALT Linux Master 2.2.

PS. Очень прикольное сообщение - о такой гемморое даже и мечтать боюсь - к каждой писалке привязан определенный диск с cd-burnerom... Прикольно наверное если их штук 20... Потерять прикольно или поцарапать. Ставить в соответствие прикольно.

> а "вы" это кто?

Мы - это не в Москве. ;-)

> И как Вы в таком варианте вообще идентифицируете Ваших
> пользователей?

А для чего, вообще, его идентифицировать, если конкретный пользователь воткнут в конкретную дырку железки, а там, где
стоит железка, вовсе не проходной двор ? Данная необходимость
может возникнуть только в случае построения сети на чем-то
вроде хабов. Учет трафика может вестись или на конкретном
интерфейсе (хотя подмена ip тут остается в качестве технического
гимора), или, если есть надежный способ избавиться от подмены,
по ip-адресу. В качестве последнего - свич с 802.1q и роутер.
Каждый клиент получается на отдельном ip-интерфейсе.

> PPTP/PPPoE имхо самый удобный вариант для этого...

В чем-то удобен, а в чем-то и нет... По меньшей мере, это дополнительная фича, которая может отвалиться.

> обычно до первой серьезной атаки... Потом все же начинают
> любить NAT+port forwarding...;)

Но те, что остаются, постоянно представляют угрозу... В общем,
нет пока жизни спокойной от вин-абонентов... :-)

А когда, кстати ? Еще года полтора назад я бы не рискнул такой переход делать (речь про 1.0). 1.0.1 тоже не стал сильно лучше, а вот в 1.1 уже обнаружился заметный прогресс.

заметный прогресс-это повод ставить?

Ну и что ? Если приложение работает и там, и там, нахрена Win сплющилась ? У нее один плюс только реальный - набор софта. Так что одинаковый софт тут не аргумент в пользу Windows.

тю-тю-пути ? :-)

Ты не правильно рассуждаешь. Давай я тебя попробую научить. Если стоит винда, а она сто пудово стоит, а под нее есть ОО без которого ну прям никуда, то зачем нужно сносить Винду и ставить Линукс?

Да-да. Систему установил, а дальше... В интернет, и на скорость, кто вперед. Ты на windowsupdate, или Бластер к тебе... ;-) Прикольно получается, азартно...

Гонево.
В серьезных конторах как ни линукс так и винда жопой в Инет не стоит. Вот почитай как бластера закрыть, видимо не знаешь(минус того, что винду в глаза не видел ;) ).

! --- block TFTP

access-list 115 deny udp any any eq 69

! --- block W32.Blaster related protocols

access-list 115 deny tcp any any eq 135
access-list 115 deny udp any any eq 135

! --- block other vulnerable MS protocols

access-list 115 deny udp any any eq 137
access-list 115 deny udp any any eq 138
access-list 115 deny tcp any any eq 139
access-list 115 deny udp any any eq 139
access-list 115 deny tcp any any eq 445
access-list 115 deny tcp any any eq 593

! --- block remote access due to W32.Blaster

access-list 115 deny tcp any any eq 4444 

! --- Allow all other traffic -- insert 
! --- other existing access-list entries here

access-list 115 permit ip any any
interface <interface>
ip access-group 115 in
ip access-group 115 out

2AS: ты видимо не в курсе, но на WinXP SP1 фаервол на всяческих dial-up/vpn соединениях включен по умолчанию...:)

Да он видимо вообще не о чем не в курсе, как дете маленькое рассуждает.

IMHO сравнивают кислое с пресным ... 
как обычно, зачем искать фичей Windows в Linux и наоборот ...

Давайте лучше сравним Plan9 Linux и Windows с точек
зрения администратора, программиста и конечного пользователя

Каждой операционке своё место. 
А покупать её или воровать, это дело совести отдельного 
человека или должностного лица. В последнем случае (должностное лицо)
лицная выгода преобладает над здравым смыслом.

> В интернет, и на скорость, кто вперед. Ты на windowsupdate, или Бластер к тебе... ;-)

Че, правда? Я думал, бластер только к тем в гости ходит, у кого SQL Server :)...

Сложности, в принципе, могут возникнуть только с вин2000. У нее файрволла нет.

> неро и CDBurnerXP уже умеют делать полные копии дисков с субканналами?;)

нет, они этого не умеют. А еще они не умеют управлять Боингами. Не надо пользоваться дешевыми отмазками. Эти программы предназначены для простого пользователя, а не пирата.

Зы: В конце концов, cdrecord есть и под Windows. Сюрприз, да?

а кто тебе мешает использовать cdrecord под Виндами?

> заметный прогресс-это повод ставить?

Нет, это повод не дергаться раньше времени. Планируя переход год-два назад, надо было больше думать на тему совместимости и переходить только в том случае, если она не особо нужна. И сейчас тоже надо думать, но уже меньше. Сделанный не сильно вовремя переход не повод рассуждать, спустя некоторое время, о кривизне ОО. Это в чем-то похоже на мои расуждения о кривизне XP без учета SP1. Впрочем, как выяснилось, в интересующей лично меня области, он тоже мало хорошего дает...

> Ты не правильно рассуждаешь. Давай я тебя попробую научить. Если > стоит винда, а она сто пудово стоит, а под нее есть ОО без > которого ну прям никуда, то зачем нужно сносить Винду и ставить > Линукс?

Вопрос исключительно в том, с какой стороны смотреть. Если бы речь шла только об ОО, я бы так и сделал. Кто-нибудь другой, может, и наборот.

да ну? и что же стоит в "серъезных конторах"? =)))

>> В данном случае NAT выполняет роль элементарного фаервола,

>Без вопросов, но вот только некоторые предпочитают реальный IP...

читай описание Dlink'овских роутеров, наружу если захочешь можно всё что угодно выпустить.

> Гонево.
> В серьезных конторах как ни линукс так и винда жопой в Инет не
> стоит.

При чем тут серьезные конторы ? Речь о всяких домашних пользователях и всяки совсем смолл-офисах на xDSL.

> Вот почитай как бластера закрыть, видимо не знаешь(минус того,
> что винду в глаза не видел ;) ).

! --- block TFTP

access-list 115 deny udp any any eq 69

А у нее еще tftp кишками наружу ?! И это... А что это за файрвол такой интересный ? Я, до этого, ios-style конфиг только у Зебры встречал... ;-)

> Да он видимо вообще не о чем не в курсе, как дете маленькое > рассуждает.

Да нет, кое о чем в курсе. И рассуждаю на основании того, за что я юзеров пачками отключаю. Если есть повод отключить, значит-таки есть какой-то способ подхватить заразу. И они это делают. И стоимость владения вдруг резко так тысяч на 20р в месяц подскакивает совершенно неожиданно. ;-) Если мы вовремя аномалию в потреблении трафика не заметим. :-( Правда, не скажу, что это с Linux невозможно...

При чем тут серьезные конторы ? Речь о всяких домашних пользователях и всяки совсем смолл-офисах на xDSL.

Ну ставь свой Линукс как файрволл, тебе что ли не дают? Но зачем ради файрвола по всей конторе мастдай сносить? Заняться нечем что ли? Все так хорошо работает, что аж геморой захотелось хоть какой нить?

> читай описание Dlink'овских роутеров, наружу если захочешь
> можно всё что угодно выпустить.

Во-первых, трафик к клиенту принципиально не должен фильтроваться.
Или должен быть спецтариф за отдельные деньги. Если он сам думать
не хочет.

Во-вторых, я не буду читать про D-Link-овские роутеры, мне хватает Нортела и Циско. А мелочь - удел энд-юзера. ;-) У D-Link мне интересны только DES-3326 и 3226, последний - за компанию.

> Но зачем ради файрвола по всей конторе мастдай сносить?

А-а-а... Нет, ты просто две ветки обсуждений перепутал. Или я... Офис - офисом. А хоме-юзер - хоме-юзером. То есть, про файрвол в Win я пишу безо всякой связи с выбором офисного пакета. Она если и есть, то где-то ближе к последним местам.

Во-первых, трафик к клиенту принципиально не должен фильтроваться. Или должен быть спецтариф за отдельные деньги. Если он сам думать не хочет.

Ага мля. Каждому пользователю по отдельному адресу реальному и не закрытому. Провайдер не описяется предоставить все это?

А-а-а... Нет, ты просто две ветки обсуждений перепутал. Или я... Офис - офисом. А хоме-юзер - хоме-юзером. То есть, про файрвол в Win я пишу безо всякой связи с выбором офисного пакета. Она если и есть, то где-то ближе к последним местам.

Не знаю какие ветки, но тут звучали слова что при апдейте виндз тебя бластер завалит. Тут такие страхи пишут, что аж смех душу разрывает.

Во-первых, трафик к клиенту принципиально не должен фильтроваться. Или должен быть спецтариф за отдельные деньги. Если он сам думать не хочет.

И по твоим соображениям сеть на преприятие не должна содержать файрволы вообще. :)

> Следующим сюрпризом оказалось что для доустановки дополнительных пакетов, не входящих на первый диск нужно уже после установки в командной строке набрать apt-cdrom add поочередно для каждого диска (Эту информацию я, правда, потом нашел в мутной документации).

Документация по APT как раз вполне внятная.

> Упомяну и apt в связке с rpm. Завидным образом торможит.

Я не знаю, что там у Вас тормозит, но перечитывание базы проходит со свистом дальше на двухсотых пнях, если, конечно, не устанавливать все пакеты с трёх дисков.

> Предлагается пять книг. Оказались по ~100 страниц дерьмового недоделанного местами перевода на русский язык.

Скажите, а счёту Вас в школе научили? Хотя бы устному? Первая книжка (руководство админа) -- ~420 страниц, остальные чуть меньше.

> Много я там не прочитал, но упомяну "книгу" про CVS - кроме безграмотно переведенной терминологии о ее качестве говорят имеющиеся в них рисунки, все выполненные в виде _невыровненной_ ASCII-графики.

Это Вы об общепринятой документации Алексея Махоткина по CVS на русском, взятой с cvs.ru? Какой Вы смелый, однако. Или скорее наглый?

Что документация получилась не очень хорошая по содержанию --- это да. Так и готовили её в полуавральном режиме. В Мастере 2.3 должна быть лучше, если сделают так, как планировалось (а планировалась как следует).

> И по твоим соображениям сеть на преприятие не должна содержать > файрволы вообще. :)

Блин, мне по барабану, что там. ОНо для меня - корпоративный клиент. Мы им трафик отдали, а зафайрволили они его, или нет - это уже их проблемы. Статистика такова, что мелкие не файрволят в основной массе. Хотя им и рассказываем про возможные проблемы. А потом вопрос: "а, все-таки, можно без файрвола ?". И что им говорить после этого ? "Да, можно. Но можете попасть на большие деньги". И попадают. Но это уже их проблемы. И, большими буквами, HOME USER ! Ну какой у него отдельно взятый файрвол, если он модем-то подешевле покупает...

Блин, мне по барабану, что там. ОНо для меня - корпоративный клиент. Мы им трафик отдали, а зафайрволили они его, или нет - это уже их проблемы. Статистика такова, что мелкие не файрволят в основной массе. Хотя им и рассказываем про возможные проблемы. А потом вопрос: "а, все-таки, можно без файрвола ?". И что им говорить после этого ? "Да, можно. Но можете попасть на большие деньги". И попадают. Но это уже их проблемы. И, большими буквами, HOME USER ! Ну какой у него отдельно взятый файрвол, если он модем-то подешевле покупает...

Так ты не сравнивай провайдера и корпорацию. Я бы тебе за файрвол на своих портах бы бошку оторвал. НО ТЫ НЕ КОРПАРАЦИЯ! Ты каналы предоставляешь, а что мне правильно или нет-это мне решать а не тебе. Надо будет всю страну через один айпи выпущу и одни пинги пропущу-это уже мои проблемы. Без понятий что там кто дома подешевле покупает.

> Так ты не сравнивай провайдера и корпорацию.

Я и не сравниваю. Я просто констатирую факт, что клиенты с Windows,
не имеющие понятия про файрволы, просто достали. А тех, которые эти
понятия имеют, не очень много. А еще Билли делает все, чтобы его ОС
торчала кишками наружу по умолчанию. Что мне вовсе не нравится при
имеющемся уровне подготовки энд-юзеров.

Первое исключение про котороя я узнал, это WinXP SP1. И то вот оно
не в достаточной мере, только для диалапа, что уже не модно. Это бы
было здорово года 3-4 назад, а не сейчас.

По-этому я очень не люблю произведения от MS. Посто вот по этой причине.

Irsi? Изви конечно но хорошь п... Для примера сеть МПС. Защищенная - да.

Почтовые серваки наружу ходят - да.

Вирусы там бродят мама не горюй.

> мне хватает Нортела и Циско.

начинай бояться. Кто-то подбрил исходники ios. Вломились в корпоративку Cisco и слили 800 мег. Как это было сделано - не известно :)

>а кто тебе мешает использовать cdrecord под Виндами?

А с чего ты взял, что я не это имел ввиду, когда сравнивал виндовые приложения?

начинай бояться. Кто-то подбрил исходники ios. Вломились в корпоративку Cisco и слили 800 мег. Как это было сделано - не известно :)

А ссылка есть?

Это не это?

Китайская компания Huawei, первоначально отрицавшая все обвинения со стороны Cisco, на этой неделе призналась в суде, что действительно использовала часть кода Cisco IOS в своих продуктах.

Тем не менее, по словам представителей Huawei, компания использовала очень небольшие части исходников IOS. Cisco заявляет, что китайская компания украла 1,5 миллиона строк кода, в то время как Huawei говорит, что реально было использовано всего два процента кода от этого количества, да и он был использован лишь по невнимательности (интересно, что под этим имели в виду китайцы?). Более того, по словам представителей защищающейся стороны, этот код уже заменен собственным кодом, разработанным программистами компании. Тем не менее Cisco считает, что ее интеллектуальная собственность была нарушена, и требует возмещения ущерба. Похоже, этот скандал еще далек от завершения.

Напомним, что два месяца назад Компания Cisco Systems подала судебный иск против китайской компании Huawei Technologies и ее дочерних фирм Huawei America и FutureWei Technologies за незаконное копирование интеллектуальной собственности Cisco.

>если вы считаете что Exchange это только почта, то мне вас искренне жаль:( Это и календарь и список дел и общие папки и многое другое.

Если вы считаете, что календарь и список дел существуют только для Outlook + MSX – мне вас жаль. А если вам нужны именно “общие папки” - мне вас жаль вдвойн

>Ну зачем офису на 10-20 человек Mdaemon/Exchange? Да и MS Office XP
>тоже. Ладно ещё W2K Server, но уже необходимость W2003 с ISA вызывает
>сильные сомнения.

Необходимость – действительно вызывает сомнения. А сам факт установки – ничуть. Местный админ ведь тоже желает увеличить свой профессионализм, а если это делал “интегратор” - так вообще святое дело впихнуть железа и софта подороже. Хорошо хоть не OpenView с IT Operations. Люди вызывают “скорую компьютерную помощь” домой, что бы поставить MS Office XP. Почему? А потому что стоимость установки его и Office 97 одна и таже. В конторах ставят юные админы, потому что он круче. :-)

>Но список софта я бы расширил :-) Ещё: WinAmp, Lines, PowerDVD,
>BSPlayer, ICQ или Chat для локалки, парочка стратегических игр,
>парочка 3D шутеров, MathCAD (для студентов) и Klez, кочующий с
>компьютера на компьютер. Нормальная подборка софта для знакомого мне
>офиса (изводил в нём этот самый Klez).

Я речь вел о сотрудниках, далеких от IT и работающих в вполне респектабельных конторах. А там максимум сапер с солитером и Media Player.

>_гостайной_ я дела не имел и не видел. Но работу с информацией
>ограниченного доступа (личные данные, медицинские карты в >госполиклинике, сертификаты для электронной подписи) наблюдал.

А у нас в России информация ограниченного доступа, регулируемая законами - либо ДСП, либо гостайна. Медицинские карты и личные данные МОГУТ относится к ДСП. Но в большем количестве случаев не относится.
иначе - сертификацированное ПО и СКД.

>Плюс ко всему в нормальной системе на уровне политики домена
>прописываются достаточно жесткие правила работы с почтовыми
>аттачментами, после чего активировать болшинство почтовых вирусов
>становится достаточно гиморойным делом.

Вы считаете, что во всех организациях сбылась мечта Гейтса – сервер MS и клиенты МS? Тогда расскажите, как мне настроить политику домена в моей сети с NDS.

>И это не говоря уж о том что защищеная сеть как минимум прикрывается >антивирусом на почтовом сервере, для обновления баз которого, >специального разрешения и согласования требуют только клинические >кретины.

Подразделения, занимающиеся информационной безопасностью и построенные на основе бывших сотрудников “особых” отделов – это именно то, что о чем вы пишете. Если вам не доводилось сталкиваться с такими организациями – вам есть над чем поработать. :-)

>Аааа... защищеная сеть под win9x... LOL! Ну я был прав - эту "защищеную" сеть делали еще те "специалисты"...:)

могу порекомендовать ознакомится, что такое SecretNet или АккордСеть НДС.

2poison_reverse: ну извини - каждый сам себе злобный буратино...:) Это я про NDS и виндовые клиенты... Нет, я ничего не имею против NDS - я просто с ним не работал фактически... Но почему-то мне кажется что это решаемая проблема, правда боюсь что решение будет не слишком прямое и изящное...
Бывшие сотрудники 1х отделов вполне адекватные и сговорчивые люди, главное правильно с ними разговаривать...:)

2 poison_reverse "Тогда расскажите, как мне настроить политику домена в моей сети с NDS."

ZENWorks ?

> могу порекомендовать ознакомится, что такое SecretNet или АккордСеть НДС.

Аккорд - полный сакс! За полгода работы он испортил столько нервов, сколько ни одна женщина не сможет и за пять лет. Следствие - при слове "аккорд" или "ОКБ САПР" у меня возникает три желания - купить баллистическую ракету и координаты ОКБ САПР :-)