Безопасность популярных операционных систем в 2006 году

> И откуда тот пинг возьмется, "если нет инета"?

Либо с lo, либо с локалки.

> Насчет контроллера - в районных сетках все люди подневольные. Хоть десятигигабитный, а как поставили тебе десятку или сотню с полудуплексом, так и сиди...

А пофиг, polling то остается. А посему получаем ни фига не занятый проц, добавляем в случае 100 особо инезанятую шину и имеем фан.

А что, инересно, правда.
Смотрим:
http://toolbar.netcraft.com/site_report?url=http://connect.microsoft.com

Site	        http://connect.microsoft.com 	Last reboot	15 days ago         
Domain          microsoft.com 	                Netblock owner	Microsoft Corp
IP address	131.107.112.14          	Site rank	23508
Country	        US      	Nameserver	dns.cp.msft.net
Date first seen	September 2005 	DNS admin	msnhst@microsoft.com

Обращаем внимание на uptime. Малован немного, но так уж и быть, простим.

далее смотрим на выдачу traceroute
]$ /usr/sbin/traceroute 131.107.112.14
<поскипано>
 9  ge-2-0-0.mp1.Stockholm1.Level3.net (4.68.125.217)  48.560 ms  35.387 ms ge-0-0-0.mp1.Stockholm1.Level3.net (4.68.96.221)  42.649 ms
10  as-1-0.mp2.Seattle1.Level3.net (209.247.10.133)  192.491 ms ae-0-0.mp1.Seattle1.Level3.net (209.247.9.121)  220.347 ms  219.410 ms
11  ge-11-0.hsa1.Seattle1.Level3.net (4.68.105.38)  215.289 ms ge-10-2.hsa1.Seattle1.Level3.net (4.68.105.134)  229.816 ms ge-11-1.hsa1.Seattle1.Level3.net (4.68.105.102)  213.934 ms
12  unknown.Level3.net (209.245.176.70)  221.413 ms  195.631 ms  199.667 ms
13  131.107.200.254 (131.107.200.254)  211.427 ms  208.842 ms  213.463 ms
14  131.107.200.246 (131.107.200.246)  215.838 ms  214.448 ms  208.951 ms
15  131.107.200.153 (131.107.200.153)  201.903 ms  201.592 ms *
16  131.107.201.30 (131.107.201.30)  201.452 ms  251.955 ms  221.245 ms
17  * * *
18  * * *
19  * *

Ага, вот здесь интереснее... Запрос к 131.107.112.14 проходит аж кучу
машин с адресами 131.107.*.*
Проверяем предположение:
$ whois 131.107.200.254
[Querying whois.arin.net]
[whois.arin.net]

OrgName:    Microsoft Corp
OrgID:      MSFT
Address:    One Microsoft Way
City:       Redmond
StateProv:  WA
PostalCode: 98052
Country:    US

NetRange:   131.107.0.0 - 131.107.255.255
CIDR:       131.107.0.0/16

Да, действительно, это адреса, принадлежащие microsoft...

Если мы такие крутые, зачем же запрос идет через столько промежуточных
серверов? Сдается мне, что все они ж0пу несчачстной Windows прикрывают...

>> И откуда тот пинг возьмется, "если нет инета"?

>Либо с lo, либо с локалки.

В моей конторе:

1) года 4 назад ломанули мужика через smb.

2) 2 раза подбирали пароли на известный login через ssh.

Оба раза извне. Т.е. из ~100 linux'овых машин за 4 года 3 взлома.

>> Боюсь ляпиксами там не пахнет.

> Не бойся и читай http://news.netcraft.com/archives/2003/08/17/wwwmicrosoftcom_runs_linux_up_to...

А ты сам не бойся и пообщайся с Российским Представительством Juniper.

>они ж0пу несчачстной Windows прикрывают

В общем-то, не факт.
Сетка у макросакса большая, подсеть на 64К машин... Так что вполне возможно, что это обычные маршрутизаторы.

> В общем-то, не факт. Сетка у макросакса большая, подсеть на 64К машин... Так что вполне возможно, что это обычные маршрутизаторы.

а я ничего и не утверждаю. Просто мне любопытно, зачем машина, _предназначенная_ общаться с внешним миром общается с ним сквозь такие дебри "маршрутизаторов" и каково истинное их предназначение :)

> Или в случае с малоизвестной конторой M$ - нефиговая ферма серверов + мощнейшие хранилища с энным резервированием на самом низком уровне и т.п. Ну по баблу - на пару миллиардов потянет. Примерно то же самое сделает линукс + железяки стоимостью на 2-3 порядка дешевле, а выйдет еще и понадежнее.

Вот когда факты приведешь, тогда и будем разговаривать. А так - демагогия...

Стоимость и объемы железа не находятся в прямой зависимости от софта, который на нем работает (мы говорим про НОРМАЛЬНОЕ оборудование, а не пень200 с помойки без всякого резервирования, ессно).

> В моей конторе: > 1) года 4 назад ломанули мужика через smb. > 2) 2 раза подбирали пароли на известный login через ssh. > Оба раза извне. Т.е. из ~100 linux'овых машин за 4 года 3 взлома.

Ну и неужели вы процесс сбора не заметили? Или не стояло ограничения на ре-логин при неправильном пароле и вообще блокировка логина с возможностью включения оного только после служебки хорошему начальнику после, скажем, 5-7 попыток (нафиг в пьяном виде на работе находиться, а трезвому для анализа причины достаточно 3-4 попыток)?

Да все очень просто.

Живет себе сервак на каком-нибудь ВЦ внутри Редмонда. :-) От провайдера до этого ВЦ - не один десяток километров и совсем не одно макросаксовское здание. Да и в самом ВЦ, небось, не свич стоит один на весь ВЦ. :-) Вот и получается, что какое-то количество маршрутизаторов пакетик должен пройти.

простите за мой французский но всё таки система линукс - это ядро и парочку библиотек - всё что идёт на дисках это дистрибутив линукса = линукс + приложения для него

система виндовс = ядро + библиотеки + куча программ + сервисы

так что автор сравнивает дистрибутив и систему...это надо уметь :) если на то пошло то какого чёрта учитываются дыры в imagemagik или xbiff или ещё чём то подобном если у меня стоит только апач и минимум программ - мс и ви. так что сравнивать надо по существу а не ту хню что гонит автор.

Смерть виндузятникам :)

> Вот когда факты приведешь, тогда и будем разговаривать. А так - демагогия...

Пожалста - Яхуевый переезд, 2+ рост числа серваков с Фрюхи. А с учетом того, что линуха как правило быстрее Фри, то перспектива завораживает.

> Стоимость и объемы железа не находятся в прямой зависимости от софта, который на нем работает (мы говорим про НОРМАЛЬНОЕ оборудование, а не пень200 с помойки без всякого резервирования, ессно).

Еще бы, с одним только исключением - если линух без проблем выполнит задачу на помойке с простейшим 5м софтрейдом, то аналогия с вендой потребует 100% стабильного, разве что веером специальным негром не обмахиваемого и тщательнийшим образом протестированного на сюрпризы железа, бешеных вложений + последующих расходов, а также штата натасканных админов с нехилым опытом. Это я про прямую зависимость, коя в случае M$ выглядит как "пофиг сколько вложено в железо, все равно вы разоритесь на наших лицензиях", в чем вы конечно правы.

Для РЕАЛЬНЫХ, же, задач - стоимость железа очень даже пропорциональна его производительности, про термин "N баксов за мегафлоп" (average $$$ per teraflop) слышали? А уже между разными классами РЕАЛЬНЫХ задач сей показатель может болтаться, а может и вовсе играть не ведущую роль.

> Ну и неужели вы процесс сбора не заметили?

Заметили. Опосля. Когда человек зашел и увидел last login from откуда-то из Италии :)

> Или не стояло ограничения на ре-логин при неправильном пароле и вообще блокировка логина с возможностью включения оного только после служебки хорошему начальнику после, скажем, 5-7 попыток (нафиг в пьяном виде на работе находиться, а трезвому для анализа причины достаточно 3-4 попыток)?

Не стояло. + ssh был открыт всему миру. btw, man что" на предмет ограничения на повторный login?

Я не администратор, простой пользователь.

s/мега/тера/ ну или же s/tera/mega/

> Заметили. Опосля. Когда человек зашел и увидел last login from откуда-то из Италии :)

Если было много фана и данные улетели ценные - увольнять админа нах, в трудовую писать "профнепригодность" и пусть корежится.

> Не стояло. + ssh был открыт всему миру. btw, man что" на предмет ограничения на повторный login?

Ну ты спросил... навскидку - нужно почитать /etc/default/login и что-то там выставить в минуту (делает перебор очень "быстрым"), и что-то в те самые 5-7 (делает перебор еще и веселым). А вообще, man login, разумеется, сейчас в моде PAM, может его средствами можно в дополнение что-то сделать (у меня он конечно есть, но работает прозрачно и присутствует исключительно в целях совместимости с будущим).

> Я не администратор, простой пользователь.

Повезло =)

>> это не патрик писал > Когда выдвигаются претензии к софту, написанному не в M$, фанаты венды кричат "это софт стороннего производителя, M$ тут ни при чем".

тогда надо на большинство уязвимостей отвечать "Это не Торвальдс писал"

> Если было много фана и данные улетели ценные - увольнять админа нах, в трудовую писать "профнепригодность" и пусть корежится.

Ничего ценного. Коллекция буржуазного кино, и ту давно стерли. ;))

> А вообще, man login, разумеется, сейчас в моде PAM, может его средствами можно в дополнение что-то сделать

Спасыб, бум смотреть.

>> Я не администратор, простой пользователь.

>Повезло =)

Дык мой login и ломали 2 раза.

> Ничего ценного. Коллекция буржуазного кино, и ту давно стерли. ;))

Смотря какая коллекция... за старые китайские боевики я бы за винты равный вес баблом отдавал ;)

> Дык мой login и ломали 2 раза.

Тогда по шапке и /dev/random + sha1sum в руки ;)

>Заработать денег на сеть. Для этого надо не с диалапа по форумам сидеть, а книжки умные почитать и куда-нить устроиться.

Съедь, "гуру", из мест московских. ;)

> Тогда по шапке и /dev/random + sha1sum в руки

можно подбирать pass-phrase ~50 символов, или неочевидные слова типа "perebzdec" :)

> Еще бы, с одним только исключением - если линух без проблем выполнит задачу на помойке с простейшим 5м софтрейдом, то аналогия с вендой потребует 100% стабильного, разве что веером специальным негром не обмахиваемого и тщательнийшим образом протестированного на сюрпризы железа...

Ха. Т.е. железо не 100%, но линукс чудесным образом это узнает и обойдет все затыки? :) Логика отсутствует начисто :). Железо либо работает, либо не работает. Как можно доверять железке, которая работает на 98%?

Я вообще-то говорил про интересные применения линукса, когда ресурсов практически нет - если ему весь "жирок" обрезать, то он будет работать там, куда винда и поместится.

> Для РЕАЛЬНЫХ, же, задач - стоимость железа очень даже пропорциональна его производительности, про термин "N баксов за мегафлоп" (average $$$ per teraflop) слышали? А уже между разными классами РЕАЛЬНЫХ задач сей показатель может болтаться, а может и вовсе играть не ведущую роль.

Ессно. Производительность софта тут уже мало роли играет - "чем больше железа, тем лучше". Я про это, вообщем-то, и говорил. Стоимость софта в данном случае роли практически не играет. С такими фермами лучше купить и не заморачиваться (хинт: убытков от простоя в течении пару часов можно получить сильно больше, чем экономия на софте за год).

>В сетке нужно зеркало, чтобы НЕ проедать трафик. Локальное внутреннее зеркало.

Ну давай, организуй. Я заюзаю тебя с удовольствием. ;)

>Дома соединяются модемами?

В России, москвич, есть города, которые без света сидят, а ты про сети говоришь. ;) Хотя у вас путин , я читал, в деревнях спутниковые тарелки обещал сибирских поставить для школ. Интересно, сбылась мечта россиян "интернет в каждом доме" или все радуются если телевизор показывать стал? ;)

>В зачуханной - наверное да. Однако нафига ставить ту же gentoo, когда можно поставить что-нить бинарное.

Да они все у вас зачуханые. Что в Голицино я был, что в Конобеево, не уверен я что у вас там инет прям как у тебя. Вон рут , бедняжка, каких то года два три назад по мобиле в инет мучался выходить. :) Кое как дышал.

>В локальной сети у тебя десятка или сотня, а 128 - выход в инет. Если ты чисто для себя качнул, наверное можешь потом перелить это на сервер сетки. И порнуха твоя никак не пострадает (а вот ладони - могут)...

А оно мне нужно? Я что ли благотворительный фонд для локалки? Если честно, то мне все до пи...ды.

> Если честно, то мне все до пи...ды.

Тады пи.дуй отседова.

>Когда поймешь, придется переставлять.

Тебя это сильно напрягло? Если честно, еще ни разу не переустанавливал из-за хаков свой десктоп.

>У меня как-то давно уже ничего нигде не виснет. А давно ли в винде фреймбуфер есть?

А что он дает?

>Вот именно поэтому ты и не знаешь что с зависимостями, что с репозитариями и т.п.

И? Ничего не понял что ты хотел сказать...

>Слушай, а где пиджаки за 300 рублей продают, подскажи, а? Солидные?

Это намек что бы порнографию с пингвином натянуть? Меня в ней на работу не пустят.

>Дык мой login и ломали 2 раза.

Удивительные вещи рассказываете ;)

ЗЫ: Ща полез посмотреть чего это письма не ходят с моего рабочего сервака в Москве.

Оказывается моя IDS восприняла стук почтового релая за попытку атаки и убила нафиг на него роутинг. А вы ssh всем в сеть выставляете ;) Ну прям децкий сад.

>>Вот именно поэтому ты и не знаешь что с зависимостями, что с репозитариями и т.п.

>И? Ничего не понял что ты хотел сказать...

Че-че. Типа ставишь sim-icq на windows 2000 sp4, она с собой Qt приносит, типо все пучком заведется. Запускаешь, "программа выполнила недопустимую операцию и будет закрыта". На windows XP все работает. Вот тебе и не понял про зависимости.

> можно подбирать pass-phrase ~50 символов, или неочевидные слова типа "perebzdec" :)

Да ну нафиг эти извращения, я случайные последовательности лучше запоминаю ;)

Вообще то меня больше прильщают слова "принесла с собой библиотеки" чем "установила пол системы ненужной"

> А вы ssh всем в сеть выставляете

Уже не всем :)

У меня на подстольном компе ssh еще не сломали с 2002 г, потому как в hosts.deny ALL:ALL, а в hosts.allow сразу было вписан список кому можно. Долбятся на 22 регулярно. Уже перестал внимание обращать.

> Вообще то меня больше прильщают слова "принесла с собой библиотеки" чем "установила пол системы ненужной"

Однако sim так и не заработала. Видимо, ей половину dll надо с собой обновлять :)

>Однако sim так и не заработала. Видимо, ей половину dll надо с собой обновлять :)

Ну не заработал значит не заработал. Ты всегда по глючной поделке огорчаешься?

> Видимо, ей половину dll надо с собой обновлять :)

Бугага.

C:\# uname -a

MS Windows 2000 SP4 NT 5.0 i686

C:\# apt-get dist-upgrade

< дыр-дыр-дыр винтом >

С:\# uname -a

MS Windows XP NT 5.1 i686

??? :)

> Ну не заработал значит не заработал. Ты всегда по глючной поделке огорчаешься?

Не огорчаюсь. Снес ихний Windows 2000 хваленый нахЪ.

>Не огорчаюсь. Снес ихний Windows 2000 хваленый нахЪ.

Ну согласись что из-за глючной аськи сносить софт в то время когда валом других клиентов... ;) Или это повод? ;)

>У меня на подстольном компе ssh еще не сломали с 2002 г, потому как в hosts.deny ALL:ALL, а в hosts.allow сразу было вписан список кому можно. Долбятся на 22 регулярно. Уже перестал внимание обращать.

;)

Даже если я тебе пароль рута скажу ты на мой комп войти не сможешь.

Даже ssh не найдёшь ;)

По остальному, как я понял, возражений нет, не так ли? ;) Теперь проясним остальное... =)

> Ха. Т.е. железо не 100%, но линукс чудесным образом это узнает и обойдет все затыки? :) Логика отсутствует начисто :). Железо либо работает, либо не работает. Как можно доверять железке, которая работает на 98%?

Я про производительность, а также о том, что глюка в самой системе нивелирует любые (сомнительные) преимущества венды, тем временем как линукс единожды поставленный - "просто работает", ежели все железо с ним совместимо.

> Я вообще-то говорил про интересные применения линукса, когда ресурсов практически нет - если ему весь "жирок" обрезать, то он будет работать там, куда винда и поместится.

Вот-вот-вот, встраивамые железяки, персональные компьютеры (в свете свисты - самое то), серьезные рабочие станции (не забываем что на них таки делают), рабочие десктопы ограниченной функциональности (урезать все нафиг и наслаждаться секьюрностью и скоростью ГОДАМИ), серваки (понятно почему), кластеры (масштабируется хорошо, зараза, да и с сетью все просто шикарно)... эээ, что там осталось у M$, x-box? Нафиг-нафиг, ПС3 - наше фсио, там линукс ;)

> Ессно. Производительность софта тут уже мало роли играет - "чем больше железа, тем лучше".

Все совсем не так, в первую голову - минимизация прослойки между софтом и железом, мбо кому интересна ОСь забирающая проценты и десятки процентов ресурсов каждой ноды - не зря на Earth Simulator ставилась вылизанная версия юникс, он потому и выдавал практически пиковую производительность. Во вторую - надежность, ибо нафиг кластеры и суперсерверы осыпающиеся из-за говенного косяка в защите или невзначай произошедшего сбоя. Ну и т.д.

> Я про это, вообщем-то, и говорил. Стоимость софта в данном случае роли практически не играет.

Да там весь софт полусамописный, если брать ученых (а кто еще кластерами серьезно пользуется кроме ученых и военных ученых?). В случае же с осью - "гыгыгыгы, а как же". (С) Платить за каждую 4-х головую ноду стоимость серверной венды, когда она сама стоит сравнимо - даже выглядит бредом, а стоит сравнимо с самим комплексом, не говоря уже о процедуре клонирования, установки и настройки что даст офигенный оверхэд по времени, бабкам и минус от надежности...

> С такими фермами лучше купить и не заморачиваться (хинт: убытков от простоя в течении пару часов можно получить сильно больше, чем экономия на софте за год).

Потому и ставят линукс/юникс на них, а стоимость операционки катастрофически меньше (хотя бы в силу однотипности и стандартизации, в том числе нод и узлов) чем стоимость железа. Так же точно ситуация обстоит с лицензированием крутых пакетов - отдельный контракт и куда меньшие суммы, нежели per-core/per-node лицензирование.

Ну и главный аргумент - на нодах нет видео и без надобности LO-системы, ибо нефиг ;)

Б@я.

Поставил на место роутинг, полезли мегатонны спама.

Может обратно заткнуть ;)

>тем временем как линукс единожды поставленный - "просто работает", ежели все железо с ним совместимо.

Гыы

> ;)
> Даже если я тебе пароль рута скажу ты на мой комп войти не сможешь.
> Даже ssh не найдёшь ;)

Вот-вот, все вендузятные малыши все в толк взять не могут, почему система вроде бы открыта - а х*р войдешь... =) Даже больше - не всегда находясь с родном под сегменте локалки (уже пройдя экран и роутер) возможно зайти под рутом... В общем мысль была в том, что "венды сосут. однозначно" ;)

> Гыы

Вот таких где-то в соседних топиках по причине отсутствия креативности и рекомендовалось как минимум стерилизовать ;)

> Даже если я тебе пароль рута скажу ты на мой комп войти не сможешь.

Т.е. с CD/дискеты нельзя загрузиться? ;)

> Даже ssh не найдёшь

Все можно спрятать. Пока _мне_ против лома достаточно простого tcpd.

ssh наружу торчит. Одно из средств составления списка кулькакеровЪ. :)

>Даже больше - не всегда находясь с родном под сегменте локалки (уже пройдя экран и роутер) возможно зайти под рутом... В общем мысль была в том, что "венды сосут. однозначно" ;)

Как часто ты на винду залазиишь? ;) может чисто поприкалываемся. Я сейчас вмвару запмущу с ляпихом, и начнем ломать винду. Ты меня учить глупенького будешь. ;)

>Вот таких где-то в соседних топиках по причине отсутствия креативности и рекомендовалось как минимум стерилизовать ;)

Не понравилось когда над твоей тупостью смеются? ;) Ну осталось только железо подобрать. :))

> Платить за каждую 4-х головую ноду стоимость серверной венды, когда она сама стоит сравнимо - даже выглядит бредом, а стоит сравнимо с самим комплексом, не говоря уже о процедуре клонирования, установки и настройки что даст офигенный оверхэд по времени, бабкам и минус от надежности...

btw, Windows 2003 Server Cluster ed. только недавно вышла. Почему-то на windows фермы как-то избегают делать. Обсуждалось уже здесь.

> Я сейчас вмвару запмущу с ляпихом, и начнем ломать винду. Ты меня учить глупенького будешь. ;)

Тебя еще учить надо? Эпидемии не научили ничему исчо? ;)

>Тебя еще учить надо? Эпидемии не научили ничему исчо? ;)

Да. Меня надо учить. Или вы только метлой трепаться можете? Как раз реальные глюки посчитаем. ;)

> Как раз реальные глюки посчитаем. ;)

Дыру в RPC уже пропатчил никак? Ай маладца! ;)

>Дыру в RPC уже пропатчил никак? Ай маладца! ;)

Та что лет двадцать назад была? Ну так... ;) А если честно, не знаю. Там что то тянется, патчится-я не приделах. :) Так что ли съехали? ;)