Безопасность популярных операционных систем в 2006 году

> Я сейчас вмвару запмущу с ляпихом, и начнем ломать винду.

А фигли её ломать в такой конфигурации? Я раз загрузил линух в вмвари из виндов, а при выключении линуха он, зараза, выключил и хост-компутер, молча, не спросив, просто питание обрубило и всё. Смысл ломать сие глюкало? :)

>>Я говорил про висту и кучу другого бетасофта, раздаваемого с connect.microsoft.com через transfer manager

> Ты хоть почитай как раздается контент, что ли, а то за тебя стыдно.

Я говорил про connect.microsoft.com и ихнюю раздачу бетасофта. Про кэширование акамаи для обычного контента я и так знаю..

> Берут ОС общего назначения gnu/linux, в результате за приемлемые человеко-годы получают, что _одна и та же_ ОС стоит на счетных узлах фермы, на storage, на управляющих узлах, на user interface + на рабочих станциях пользователей фермы. Сквозная совместимость.

Совместимость только в названии - оно включает слово линукс. Остальное доработать напильником.

>> Фирменный unix на фирменное железо. Это скорее к top1000, там с соотношением цена/производительность, afaik, не особо морочатся. > На дешевый массовый x86 - дешевый linux.

Это не ко мне вопросы. Gharik там собрался фирменный линукс использовать.

> Yahoo! ? Та хер его знает, что это такое, но точно не хостер ;) А тот пример с 2003 - это парковщик доменов и под этой 2003 у него разве что базы данных для DNS хранились, полное дерьмо, в общем, ибо проверять нужно реальные адреса и реальные сервисы под реальными нагрузками.

Когда возникнут "реальные сервисы под реальными нагрузками", моментально все упрется в железо. Приехали к тому, с чего начали. А миллионы "вась пупкиных" отлично хостятся на чем угодно. Пачками.

> 1. Это когда Зюзя успела Оракелом сертифицироваться? Для меня есть только одна причина падения сервера, например, под RHEL - разрядка батарей упса вследствие отказа резервного генератора, увы, мы живем не в идеальной стране.

http://www.novell.com/products/server/oracle/certified.html

Из чего можно сделать вывод, что сервера нормальные вы и не видели.

> 2. Таких "апдейтов" в венде - море, от банального изменения размера свопа до установки новой версии драйвера, не нада ля-ля.

> Своп - это да. И то, только на уменьшение или перенос. Увеличение и добавление файлов перезагрузки не вызывают. Установка драйверов - иногда, но не всегда. Часто достаточно перезапустить железку (если не знаешь как - это другая проблема, проще рестартануть).

> Еще помню, передергивание каких-то там безобидных связанных с десктопом галочек да комбобоксов приводило к рестарту.

Не помню и не знаю таких. Что там про устриц было?

> RHEL перегружаешь только если в базовом ядре что-то необратимо покосячилось, что бывает раз в 3 года, при выходе нового RHEL ;)

Да ну? Ядро раз в 3 года выходит? :)

> WinCE - жуткий нестандарт, Win-embedded - то же самое, хз где ее взять, а на лицензиях - разоришься. А в линуксе - все, между прочим, в составе одного и того же ядра - разве что доступные патчи иногда накладывать приходится. Если "где его взять", то тогда понятно. Зачем Windows обсуждаете, если про нее ничего не знаете?

> Потомушталинукс! ;) > Ауди тоже рулит, ПС3 - зарулит всех ;) Фанатик :)

> Просто никто еще суперсерверов на вендах не видел, все больше специализированные юниксы, Солярка, АИКС, да наш любимый линукс ;)

Отучаемся говорить за всех.

> Дык про них и речь, остальное по сцылке заказывается у проверенных вендоров. Собственно "реальный энтерпрайз" и в случае кластеров заказывается у проверенных вендоров.

Эээ... Я речь веду об этих, реальных серверах. На числодробилках линуксам альтернативы пока нет (почти. бигблю показал, что заточенная числодробилка гораздо круче :)). Тем более, в университетских применениях.

> Пару процентов от стоимости железа максимум, сущие копейки. К Санкам и IBM - вообще в нагрузку идет, они деньги берут за дело, а не за погремушки с висюльками для глупых индейцев.

Ага :). Вы еще верите в добрых дядей?

> Какие к ибиням иксы на кластерах? :) Жаба... тут не смог продолжить, подавился из-за ржача нереального... Жаба - тоже непременный атрибут, числодробилки, да? :)

Я не говорю про числодробилки. Они мне вообще не интересны. Меня интересуют больше энтерпрайз аппликэйшн сервера.

> Ну то, что он не знает о ненужности жабы - фиг бы с ним... А вот то, что он не знает про...

>controller:/# xhost node-12.cluster.org >... >node-12:/# export DISPLAY="controller.cluster.org:0.0" >node-12:/# startkde

И всего-то через ж... :) Да и зачем кде? Нужны были Х-овые примитивы для отрисовки в память.

http://javatechniques.com/public/java/docs/hosting/headless-java-x11-librarie...

Это было актуально когда-то для 1.3. Сейчас и так все работает...

> А вот дурацкие вопросы: систему на узел можно без видеоплаты поставить? Windows умеет стартовать без видео?

2003ий - умеет. http://www.microsoft.com/windowsserver2003/evaluation/features/comparefeature...

Ключевое слово - headless

>И всего-то через ж... :)

Бегать с монитором, клавой и крысой по ВЦ тебя больше устраивает.

>Да и зачем кде?

Парень, да ты на всю голову ебн.тый! И стеба нифига не понимаешь. KDE только для примера. :-) Запустить таким образом можно ЛЮБУЮ софтину иксовую. Хочешь - можешь каку запустить. Или сетупилку Оракла. _ПОФИГ_ что. :-) Главное, чтобы на controller был X запущен хотя бы (хотя, KDE и несколько окшечек с KDE прикольно выглядит... башню вмиг сносит).

>Нужны были Х-овые примитивы для отрисовки в память.

Именно это оно и обеспечивает. Всего-то навсего. :-) Я таким образом в детстве Microstation с чужого компа запускал - на 486-й подтормаживало, а по сетке (10Мбит) побыстрее было. :-)

>С vesafb-tng (или просто vesafb, но так фигово с герцовкой) очень даже замечательно работают.

+1

PS: А что, сейчас кто то еще покупает CRT ? ;)

>>Оба раза извне. Т.е. из ~100 linux'овых машин за 4 года 3 взлома.

>God, love?

Нет. login был засвечен как e-mail, password 1) из словаря 2) использовался, в том числе , для регистрации на форумах, т.к. у мя память на пароли на 7 букф :)

> PS: А что, сейчас кто то еще покупает CRT ? ;)

Угу, есть сумасшедшие ребята, коим качественная цветопередача и свои глаза важнее свистелок и перделок для "массового пользователя" ;)

> Я говорил про connect.microsoft.com и ихнюю раздачу бетасофта. Про кэширование акамаи для обычного контента я и так знаю..

"Shit от M$ прет в тыщу раз сильнее ОБЫЧНОГО shit" (С) ? =)

> Это не ко мне вопросы. Gharik там собрался фирменный линукс использовать.

Еще учимся читать не только байки и пеар от любимой корпорации, но еще и обычный текст ;)

>> Берут ОС общего назначения gnu/linux, в результате за приемлемые человеко-годы получают, что _одна и та же_ ОС стоит на счетных узлах фермы, на storage, на управляющих узлах, на user interface + на рабочих станциях пользователей фермы. Сквозная совместимость.

>Совместимость только в названии - оно включает слово линукс. Остальное доработать напильником.

Подсказка: SLC

> Gharik там собрался фирменный линукс использовать.

SGI, IBM?

> Когда возникнут "реальные сервисы под реальными нагрузками", моментально все упрется в железо. Приехали к тому, с чего начали.

Как сказать, как сказать, Оракел на х86-smp под солярой, линуксом, виндой и фрей - четыре большие разницы...

> А миллионы "вась пупкиных" отлично хостятся на чем угодно. Пачками.

Вы вообще про что?

> http://www.novell.com/products/server/oracle/certified.html Из чего можно сделать вывод, что сервера нормальные вы и не видели.

Вы наконец признаете, что реальные серваки под линуксом существуют? :) А я, болезный, все думал, что только соляра рулит, да изредка RHEL ;) Еще будьте добры пояснить вывод, а то подобные причудливые извивы мыслей вендузятнега простым смертным недоступны...

> Не помню и не знаю таких. Что там про устриц было?

Что вендузятнег, съевший устрицу, впадает в коматоз, сопровождающийся избирательной амнезией? ;)

> Да ну? Ядро раз в 3 года выходит? :)

От редхэта? С каких пор вообще выход свежего ядра стал являться поводом для его установки на продакшене во внутренней сети? ;)

> Отучаемся говорить за всех.

Наркоманам все равно все пофиг, у них и без этого суперсервера и кластеры вендовые есть ;)

> Эээ... Я речь веду об этих, реальных серверах. На числодробилках линуксам альтернативы пока нет (почти. бигблю показал, что заточенная числодробилка гораздо круче :)). Тем более, в университетских применениях.

И какое у нас там бигблю имеет соотношение реальной и пиковой производительности?

> Ага :). Вы еще верите в добрых дядей?

Нет, я их видел своими глазами ;) Понимаю, от M$ ждать чего либо акромя вазелина "энтерпрайз эдишн" своим лояльным кастомерам оные уже жестко отучены ;)

> Я не говорю про числодробилки. Они мне вообще не интересны. Меня интересуют больше энтерпрайз аппликэйшн сервера.

Причем, вероятно, исключительно вендовые сервера? :)

> Я не говорю про числодробилки. Они мне вообще не интересны. Меня интересуют больше энтерпрайз аппликэйшн сервера.

Почему обработка данных с эксперимента не enterprise application? Объемами поинтересоваться не вредно. Grid не просто так начали делать.

>На числодробилках линуксам альтернативы пока нет (почти. бигблю показал, что заточенная числодробилка гораздо круче :)).

http://www.top500.org/stats/27/osfam/

>Угу, есть сумасшедшие ребята, коим качественная цветопередача и свои глаза важнее свистелок и перделок для "массового пользователя" ;)

Дык это небось "дизигнеры". Они что такое vesafb-то ни разу не слышали.

А глаза как раз на LCD современных берегуться поболе. Ради эксперимента поднеси Web-камеру с отключённым light frequency фильтром к LCD и к CRT (пофигу сколько Гц) вплотную на минимальное фокусное расстояние.

>Хотел бы у вас спросить - на хрена, имея Nvidia, врубать framebuffer и родные дрова? Ну на хрена?

Я тоже не понимаю. Это видней линуксоидам.

>А фигли её ломать в такой конфигурации? Я раз загрузил линух в вмвари из виндов, а при выключении линуха он, зараза, выключил и хост-компутер, молча, не спросив, просто питание обрубило и всё. Смысл ломать сие глюкало? :)

Попробовал мега прогу-пишет что не может соедингиться...Что не так?

> Дык это небось "дизигнеры". Они что такое vesafb-то ни разу не слышали.

> А глаза как раз на LCD современных берегуться поболе. Ради эксперимента поднеси Web-камеру с отключённым light frequency фильтром к LCD и к CRT (пофигу сколько Гц) вплотную на минимальное фокусное расстояние.

Представьте себе, посидев часик-другой за любым LCD, хоть с S-IPS, хоть с бамбуково-глиняной матрицей - встаю из-за него с больной головой и двоящейся картинкой на глазах... А с домашнего многодюймого трубочника - хоть сутки сиди, зрение скорее улучшится, нежели наоборот. Просто покупать нужно хорошую вещь, да о вызове спеца для калибровки и подстройке сведения не забывать.

P.S. нахера мне веб-камерой шевелить, если речь идет о родных глазках... ммм? ;))

>Представьте себе, посидев часик-другой за любым LCD, хоть с S-IPS

В чем согласен с линуксоидом так это в этом. Посидев за CTX монитором, был очень рад, что раздавил его по пьяне и купил недавищейся 21дюймовый монитор. Это будет самое последнее если я опять куплю себе жидкие кристалы-лучше попробовать проектор, чем всю эту порнографию...

>>А фигли её ломать в такой конфигурации? Я раз загрузил линух в вмвари из виндов, а при выключении линуха он, зараза, выключил и хост-компутер, молча, не спросив, просто питание обрубило и всё. Смысл ломать сие глюкало? :)

> Попробовал мега прогу-пишет что не может соедингиться...Что не так?

Это о чем рэч? - для тех, кто не в курсе.

>Это о чем рэч? - для тех, кто не в курсе.

Я понятия не имею. Мы ломаем дрявую ось...

> Я понятия не имею. Мы ломаем дрявую ось...

Ничего не понял. Кого ломаем и как?

>Ничего не понял. Кого ломаем и как?

трэд прочитай. :)

Опаньки. :(

w2k sp4, cкомпилил под cygwin, ./test.exe 127.0.0.1 445 работает. :(

>w2k sp4, cкомпилил под cygwin, ./test.exe 127.0.0.1 445 работает. :(

Я ждал всего этого. Устал ждать...но я то при чем? Я умею защищать свою систему и не понимаю почему должно быть всегда включено telnet.d в линуксе....

Ты вообще знаешь для чего нужен 445 порт?

>Просто покупать нужно хорошую вещь

Аналогично относится к LCD токо там не нужно ничего "сводить" ;)

>P.S. нахера мне веб-камерой шевелить, если речь идет о родных глазках... ммм? ;))

Это к тому что CRT моргает по любому на любой частоте.

У меня на работе тоже стоят CRT-шки в общем не самые плохие (NEC). Но как прихожу домой, сразу вижу разницу. Тут уж кто к чему привык.

PS: Я за почти 25 лет много за чем посидел. Больше всего мне нравятся LCD-шки буковых сонек и топовых буковых IBM.

>Посидев за CTX монитором

Это кто такой ? ;)

И все что ты увидел?

Ламеры из ЛОР. я прошу вас ответить мне....ну где же ОС ошибки?

> Аналогично относится к LCD токо там не нужно ничего "сводить" ;)

Вот-вот, отдавая в 2-2.5 раза больше денег, имея не дотягивающую в плане точности передачи цвета матрицу, а также головную боль и прогулки каждый час на полчаса ;)

> Это к тому что CRT моргает по любому на любой частоте.

> У меня на работе тоже стоят CRT-шки в общем не самые плохие (NEC). Но как прихожу домой, сразу вижу разницу. Тут уж кто к чему привык.

Это факт... плюс по опыту, младшая родственница с детства сидит за LCD - так к окончанию школы она имела -3.5 на каждом глазу, и оное продолжает падать, а я почему-то, сидя за говенными мерцающими и просадив до -2.5 с последующей покупкой держащего 100Гц везде монитора - так и остаюсь. Уж хз, почему - но тенденция настраживает. У родственников поголовно та же самая фигня - либо CRT, либо плазма, либо проекторы - но никак не LCD, плохеет враз.

> PS: Я за почти 25 лет много за чем посидел. Больше всего мне нравятся LCD-шки буковых сонек и топовых буковых IBM.

Не, не катит ;) Покупать мизерный ноут ради остального железа как-то совсем безумно :) Вот если бы дуймов на 21-25, с 1600х1200х100(120)Гц массово продолжали выпускаться црт-шки...

>отдавая в 2-2.5 раза больше денег

LCD сейчас очень дешевые.

>не дотягивающую в плане точности передачи цвета матрицу

ЭМ??? Ну так матрицу надо с DVI брать, ась? :-)

>а также головную боль и прогулки каждый час на полчаса ;)
>У родственников поголовно та же самая фигня - либо CRT, либо плазма, либо проекторы - но никак не LCD, плохеет враз.

Проблема в том, что пользоваться не умеют. :-) У LCD очень высокая контрастность (да и яркость тоже) в сравнении с CRT. И все норовят поконтрастнее сделать. :-) Ставьте контрастность (и яркость) меньше, не сидите за компом в темноте - и все будет ОК.

Кроме того, не забывай, что от CRT очень так неслабое электро-магнитное излучение. Сидеть в полуметре от 20" CRT - это 100% путь к половой стерильности... если не к раку.

>Это факт... плюс по опыту, младшая родственница с детства сидит за LCD - так к окончанию школы она имела -3.5 на каждом глазу, и оное продолжает падать, а я почему-то, сидя за говенными мерцающими и просадив до -2.5 с последующей покупкой держащего 100Гц везде монитора - так и остаюсь. Уж хз, почему - но тенденция настраживает. У родственников поголовно та же самая фигня - либо CRT, либо плазма, либо проекторы - но никак не LCD, плохеет враз.

Это больше зависит от наследственности чем от типа моника.

У меня к 40 пока зрение в норме (не проверялся павда давно но мелкие буковки на листочке, что лежит на соседнем столе, пока разбираю). Потом понятно будут возрастные изменения но 25 лет глядения в моник пока никак на зрение не повлияли.

У массовых кетайских LCD-шек относительно плохая контрастность. Поэтому NEC тут рулит ;)

>Проблема в том, что пользоваться не умеют. :-) У LCD очень высокая контрастность (да и яркость тоже) в сравнении с CRT

+1

Правда контрастность у разных LCD-шек бывает разная, от 1:350 до 1:1000 А вот яркость это да. У дешевых самсов вроде была такая болезнь. Слишком яркая подсветка + плохо регулировалась.

> .. ну где же ОС ошибки?

Накуя 2 сервиспака к хрюше? Что они исправляли?

Как ламир тебе отвечаю: читай sysinternals, должно помочь.

Прикрывать firewall'ом или не запускать сервис вообще - не решение.

> Ты вообще знаешь для чего нужен 445 порт?

Недавно узнали про smb по ip, теперь спешим поделиться с окружающими?

>Прикрывать firewall'ом или не запускать сервис вообще - не решение.

Применительно к венде не знаю, а вот под *NIX - почему бы и нет?
Всегда первым делом после установке убираю на фиг inet.d :-). А то всякие фингеты, телнеты...

> Применительно к венде не знаю, а вот под *NIX - почему бы и нет?

Если ssh должон наружу торчать -- значит должон и ша.

> inet.d :-)

^^^ Slackware или *BSD ? :)

Про не к ночи здесь помянутый exploit, по памяти цитата:

"You must not expose port 445 to the world." (c)

>Если ssh должон наружу торчать -- значит должон и ша.

Файрволлом разрешить только с доверительных IP.
iptables -A INPUT -s a.b.c.d -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j DROP
Так что "експлойт" даже до sshd не доберется. :-)

>^^^ Slackware или *BSD ? :)

Slackware :-)

>"You must not expose port 445 to the world." (c)

Конкретно тут - 2 пути:
1. Если _НЕ_ нужно, чтобы самба торчала в Инет, то просто в smb.conf указать какие интерфейсы слушать.
2. Если все же нужно, чтобы было доступно (ну бывает такое, все же ;-) ) из Инета, то вышеприведенным методом файрволлим. :-)

>Я говорил про connect.microsoft.com и ихнюю раздачу бетасофта. Про кэширование акамаи для обычного контента я и так знаю..

Оно и для необычного. Для начала провайдер закрывает MS, потом последний ставит до хрена серверов, чтобы это все не е...нулось, а дальше в ход идет акамаи со своими кэширующими серверами. Или ты думаешь, он там делит - ой, висту раздаем прямо с серваков, не будем кэшировать...

>Когда возникнут "реальные сервисы под реальными нагрузками", моментально все упрется в железо. Приехали к тому, с чего начали. А миллионы "вась пупкиных" отлично хостятся на чем угодно. Пачками.

Тут все зависит кто во что упрется. Винда, насколько я помню, в 32 процессора и 32 же ноды.

А знаешь во что упрется linux?

P.S. Кстати, у меня друг работает в конторе, где числодробилкой является виндовый кластер. Очень специфический софт под винду, поэтому линукс не смогли заюзать. Рыдают. ;)

>А глаза как раз на LCD современных берегуться поболе.

БерегуТСя.

Да, поболее, но нам бы качественную цветопередачу. Монитор в 21 дюйм ЖК с нужной цветопередачей стоил полгода назад 4000 у.е. И это был не самый крутой и хороший, но достаточный для стоявших полиграфических задач.

А раньше стоял 19 лось...

Сколько стоит лось подсказать?

>У меня на работе тоже стоят CRT-шки в общем не самые плохие (NEC). Но как прихожу домой, сразу вижу разницу. Тут уж кто к чему привык

Скажи мне при чем тут цветопередача, а?

LCD хороши для всего, кроме графики. И все.

Те, что хороши для графики, стоят дорого. Очень.

>Это кто такой ? ;)

Это фирма, которая делала очень качественные ЭЛТ мониторы. Как там насчет LCD - хз. Их дизайнеры любили весьма.

Сам такой взял когда-то, поспрашивав мнение о цветопередаче, сведении и т.п.

>Кроме того, не забывай, что от CRT очень так неслабое электро-магнитное излучение. Сидеть в полуметре от 20" CRT - это 100% путь к половой стерильности... если не к раку.

Рекомендую внимательно прочитать стандарт TCO 95, а потом чушь писать.

>iptables -A INPUT -s a.b.c.d -p tcp --dport 22 -j ACCEPT >iptables -A INPUT -s 0/0 -p tcp --dport 22 -j DROP
>Так что "експлойт" даже до sshd не доберется. :-)

А что не

iptables -P INPUT -j DROP
iptables -A INPIT -s a.b.c.d -p tcp --dport 22 -j ACCEPT

?

> И откуда тот пинг возьмется, "если нет инета"?

делаем пинг на винмашину с другой

ping -f -s 64000 -l 1000000 x.x.x.x -B 127.0.0.1

После чего машина win запингует себя до усмерти

> Угу, есть сумасшедшие ребята, коим качественная цветопередача и свои глаза важнее свистелок и перделок для "массового пользователя" ;)

И остальные прелести ввиде несведения, геометрии и необходимости выбрать один монитор из десятки... Давно уже есть нормальные LCD мониторы той же Eizo или NEC (серия CG).