Итак, по мнению Irsi:

1. Первоначальная установка сервиса ssh с параметрами отличными от описанных в документации, провернных годами практики и рекомендованными авторитетными специалистами в данной области ПОВЫШАЕТ БЕЗОПАСНОСТЬ и требует МЕНЬШЕ ТЕЛОДВИЖЕНИЙ - то есть в конфиг можно и заглядывать ;)

Гы-гы-гы - "и этот человек запрещает нам ковырять в носу!"

2. OpenBSD Team и авторы OpenSSH - красноглазые линуксоиды (пардон, бздунисты), раз настаивают на такой дефолтной конфигурации.

Следуйте рекомендациям Irsi и вы "будете святее Папы римскаго". Осталось только добавить что безопасность повышается ровно на столько же, на сколько и разглаживаются морщины (у админов, ессно) - на 67 процентов, гарантия лаборатории Irsi.

3. Тот вздор, что он написал про исталляцию многих машин супротив одной-двух свидетельствует о том, что этот гуру неспособен к подобным практическим действиям и поэтому ими некогда и не занимался реально.

"Настоящий садовод - это РАДИОТЕОРЕТИК".

4. Остался без ответа вопрос-просьба разъяснить чем таки разрешенный по умолчанию рутовый логин по ssh "уменьшает безопасность" в том случае, если ssh всё таки требуется и почему разработчики и дистрибуторы об этом ничего не подозревают? Ну, кто попробует? Может MrBool?!

Это не пустой вопрос - я сам часто меняю настройку этой фичи и это приносит мне (нам) конкретное удобство в управлении хостом (хостами) в определенной ситуации, но делается это отнюдь не из соображений "безопасности"... Так что, давайте, обменяемся опытом, чтобы не только флеймить.

mi2g сообщает только абсолютные цифры, не указывая, сколько процентов веб-серверов, работающих под Linux или под Windows, подверглись атакам. Нужно учитывать, что количество веб-серверов, на которых используется Windows, существенно меньше, чем серверов, работающих под другими операционными системами. С другой стороны, серверы, в которых используется какая-то разновидность BSD, встречаются, по меньшей мере, не реже, чем серверы с Linux, однако они не упомянуты в отчёте mi2g вовсе.

Председатель совета директоров mi2g считает, что главная причина увеличения числа успешных атак на Linux-серверы - это неправильная конфигурация системы. Хакерские сканеры для поиска уязвимостей становятся все более совершенными, и безопасность сервера все сильнее зависит от его правильной настройки и своевременной установки патчей. Система, установленная "из коробки" без заплаток и с установками по умолчанию, будет крайне уязвима.

Правда, это одинаково верно, как по отношению к Linux, так и по отношению к Windows. По мнению аналитиков mi2g, всё может объясняться убеждённостью многих системных администраторов в том, что Linux вполне надежен сам по себе, что, разумеется, не так: в любой программе есть ошибки.
"Надёжный компьютинг" - это достаточно сомнительный пример. В январе, спустя целый год после начала кампании "Надёжного компьютинга", вирус Slammer использовал дыру в SQL-серверах производства Microsoft и намного часов парализовал интернет во всём мире. Серверы, работающие под Linux, никогда не становились жертвами атак подобного масштаба.

IRSI:ну и очень ты тут туфту бедолага гонишь
Мне тебя ну просто слово жаль убогенького :(

novellon

2 Irsi (*) (2003-06-06 15:28:59.344205)
Слышь, красноглазый. Ты эта, если говоришь ТОЛЬКО про корпоративные системы, так конкретно и говори. А сказал - на каждом - получил ответ. Будешь грубить - анафеме предам - импотентом станешь.

to Irsi :

>а патчи там ставить

А потом некоторые security обратно деинсталлировать
Примерчик с результатом и почему я уже привел.

Ты кстати так и не ответил на вопрос : "Мне что патчи совсем не ставить
предлагаешь ?"

после твоего заявления : "у винды есть гораздо более правильная аналогия
по поводу политики безопрасности"

2Sun-ch: дык, а зачем два? А обновлять не пробовали? :)

2vilfred: блин, это Вы теоретик... да 90% юзверей таких словов не знаю, не говоря уж о том чтоб просто настроить фаервал сложнее того что в ХР встроен...

2MrBool: ты похохе совсем нить разговора потерял...:) Расслабся, перечитай, посмотри о чем мы говорили и тогда поймешь что тебя не туда немного уснело. :)

>4. Остался без ответа вопрос-просьба разъяснить чем таки разрешенный по умолчанию рутовый логин по ssh "уменьшает безопасность" в том случае, если ssh всё таки требуется и почему разработчики и дистрибуторы об этом ничего не подозревают? Ну, кто попробует? Может MrBool?!

В момент инсталляции система чрезвычайно уязвима, особенно если

ставить через сеть, ядро и сеть уже работает исполняется sh и ftp клиент

с правами root, а средства защиты нет.

2Irsi:
>Ну и каша в голове у красноглазых... все в одну кучу валят...:)
Это ты о себе?
Ты ж сам всё в кучу и свалил: увидел в ДЕСКТОПНОМ дистре линукса
разрешённый по-умолчанию вход для рута по ssh, и развил идею об уязвимости
линукс-серверов

2Sun-ch: дык, а зачем два? А обновлять не пробовали? :)

Один на почтовом сервере для всех, и локально для каждой машины.

Все базы обновлялись,

Эпидемия началась ночью с 4 на 5, а Дохтур Въеб выложил

update 5.06 в 16 часов MSK.

Хе-хе-хе....

... и Windows - демона созданье, и Linux - парадоксов друг, ... (Копирайты утеряны)

ИМХО таки полезнее пообсуждать прямоту/кривизну рук тех типа админов. Таки ГРАМОТНО (!!!) поставленная Винда Линухам не уступит. Это факт и практика. И наоборот же линь имеет все шансы сдать позиции при кривом подъеме... Это все равно, что сравнивать скажем яблоки и картошку... А то, что серваки валят - так за ними приглядывать надобно... Оно же как: дай дурню стеклянныйх $#й так он и ЕГО разобъет и руки порежет...

Night's Shadow...

А зачем дурню стеклянный, этот, как его, х...?
Может, он больше для дам подходит?

2Led: внимательно перечитай первое сообщение про это - я там что-то говорил про вариант? И еще - я утверждал что это сохранилось здесь и сейчас, на данный момент, во всех дистрибутивах? Я там имхо весьма четко сказал - не моя проблема что некоторые невнимательно читают чужие мессаги :)

>ИМХО таки полезнее пообсуждать прямоту/кривизну рук тех типа админов. Таки ГРАМОТНО (!!!) поставленная Винда Линухам не уступит. Это факт и практика.

Ложь, пиздеж и провокация.

Я лично видел взломанный IIS, который ставил и тюнил сертифицированный

партнер MS.

to Irsi :

> 1. Не работать под админом!

Насмешил, правило Nr1 я применял уже тогда когда ты ещё под стол пешком ходил :0) И у меня и у жены аккаунты с ограниченным доступом.

>2. Блин, сказано не работать под админом!!!

:) читай выше

>3. Ты чё козел - сколько раз можно говорить что работать под админом нельзя?!

Козла в зеркале увидишь :0)

>4. Не работй под повер юзером тоже, а?

Если не доходит, прочитай ответ выше ещё раз.

>5. http://www.free-av.com

Эта программа полезна для тех кто хочет отмазатся что имеет антивирус.
Для поиска и уничтожения вирусов она бесполезна.

Лекбез:

На данный момент мне известен только один антивирус способный ловить вири которые пропускает даже Касперского® Personal Pro 4.0.9.0.

Антивирус называется AntiVirenKit 12 professional
(http://www.gdata.de/trade/productview/249/3)

Содержит в себе 2 engine (Kaspersky+RAV), но нужет как минимум 1,8GHz
для того что-бы не материться на его watcher

Саныч, мы говорим про специалистов или собирателей цидулек и железяк?
Виндузятник

2Irsi:
>2Led: внимательно перечитай первое сообщение про это - я там что-то
>говорил про вариант? И еще - я утверждал что это сохранилось здесь и
>сейчас, на данный момент, во всех дистрибутивах? Я там имхо весьма
>четко сказал - не моя проблема что некоторые невнимательно читают чужие
>мессаги :)
Ты сам-то понял что сказал?:) ИМХО нет... и не пытался:))

2Irsi
>Во-первых эксченчь у меня не любымый, а просто один из используемых продуктов, >во-вторых его клиент это Outlook, а никак не OE... Как я и говорил - путаете, не видете разницы между пимом и почтовым клиентом, что четко указывает на то что с крупной корпоративной сетью ни разу не работали...
К Вашему сведению, мистер всезнайка, с winnt (версий 3.5, 3.51, 4.0) я очень близко знаком с 1996 года, администрировал сети winnt/Novell/*nix.
И сервера Exchange 5.0, 5.5SP1-3 настраивал, даже ньюсы в них присутствовали. А аутглюк'97 - это вообще пестня, особенно с кодировкой и вирусами в html'е. Слава богу, все это в прошлом, вирусы, синие экраны, remote profiles, PDC, BDC, SP1..6+HotFixes (nt4). К Exchange после версии 2000 вообще пропало уважение, когда он для установки IIS потребовал (ну не нужен тогда был web-интерфейс к Exchange). Это "четко указывает на то", что про работу в корпоративной сети это Вы пальцем в ж... небо попали :-). А насчет различия между О и ОЕ, да, какая нафиг разница, механизмы работы с сообщениями одни и те-же, тот же хтмл, тот же актив х, можно даже говорить о совместимости вирусов с аутлук или экспресс :-)
>Про локальные эксплоиты, позволяющие получить права прилевегированного юзверя - поверь, под юниксами их больше, некоторые моменты в идеологии способствуют увы...
Верю, но с ними воевать проще, *nix - многопользовательская, а вин - однопользовательская среда (для возражающих - установите IE5, IE5.5, IE6 и запустите одновременно :-)).
В частности для Linux есть соотв. патчи (OW,GRSec,...), и все локальные, удаленные эксплоиты идут лесом.
P.S. А в каком году Вы начали с виндами работать, и с какими, если не секрет?

2Бул:

не нужно использовать аргументы "друзья и знакомые". А по сути, файрволл не нужен. Если очень хочется, то поставить snort. Будет гораздо полезней.

А вся роль этих файрволлом на сегодняшний день сводится к фильтрации траффика, типа баннеры режут и проч. На дсл канале это как-то не напрягает, особенно при использовании myie2 (кста, рекомендую - очень неплохой браузер на базе ядра ie).

Тем более, все эти штуки частенько криво написаны, и работая в ядре, любят блюскринить.

Встроенный в ХР файрволл предназначен для забывчиков, которые запустят IIS на все адреса, не настроив предварительно. А потом удивляются, хто ето у них на машине хозяйничает.

Добавлю по поводу патчей. Многие из них можно и не инсталлировать, поскольку эскалация может быть только локальной. Критических патчей, действительно важных, было совсем не много. Жаль, микрософт не ранжирует их нормально, а все валит в кучку.

И, как я уже писал, во внешний мир модемным и дсл (pppoe) соединением в ХР ничего не смотрит акромя tcp/ip. А от DDOS она уже устойчива

2anonymous (*) (2003-06-06 17:00:41.378631):

требование всего и вся объясняется весьма просто - это была политика МС - втюхнуть как можно больше за один присест. К счастью, они стали от этого избавляться

"да 90% юзверей таких словов не знаю, не говоря уж о том чтоб просто настроить фаервал сложнее того что в ХР встроен..." ну так у нас же не стоит вопрос о том, что знают, а что не знают юзеры... у нас тут вроде как вопрос о том, существует ли десять тысяч первая программа, которая обойдет этот XP файрволл. Вы мне привели цифру 95% для XP, меня такая надежность не устраивает....

to Irsi :

>ты похохе совсем нить разговора потерял...:) Расслабся, перечитай,
>посмотри о чем мы говорили и тогда поймешь что тебя не туда немного
>уснело. :)

Ладно, начинаю новую нить :)

Ты сказал

"Только показал свое незнание оной - у винды есть гораздо более правильная аналогия по поводу политики безопрасности... :) Подсказка - политика входа по RDP... Вот уж что через жопу сделано, прости меня господи...;)"

после того как я мордой ткнул Ogr'а по теме кривизны патча для устранения дыры.

Внимание вопрос :0)

Можно ли исходя из твоих заявлений заключить что установка патча
необязательны так как все можно сделать через "политика входа по
RDP..." ?

2Led: ну извини - ели ты даже этого понять не можешь, то все понятно имхо...:)

2MrBool: ладно, поговорим о домашнем компе... Так вот - я с 97го года живу на домашнем компе БЕЗ антивируса. Комп подключен к сети практически постоянно - сначала это был халявный диалуп, потом - выделенка...:) Так вот - я не подцепил НИ ОДНОГО вируса, хотя приходят они ко мне регулярно... Почему? Да просто мозги иметь надо имхо...:) Фаервол на компе есть, но видимо в ближайшее время будет снесен за ненадобностью (мне похоже дарят 806ю кошку).
А теперь вернемся к корпоративной сети... так вот - там обычно имеется железка, которая фаерволит всю сеть, есть антивирус на серверах, у юзверей нет админских прав... Сеть полностью свичеваная, на каталистах, с виланами... Вопрос - зачем в таких услових на рабочих станциях антивирус и персональный фаервол?

P.S. Я смотрю желающих по314здеть здесь собралось достаточно... А может ли кто-нибуть подсказать фаервол, желательно халявный если под винды, но и для фрюниксов не помешает, у которого формат конфигов максимально похож на Cisco IOS ACL?

2Irsi:
>А может ли кто-нибуть подсказать фаервол, желательно халявный если под
>винды, но и для фрюниксов не помешает, у которого формат конфигов
>максимально похож на Cisco IOS ACL?
Конвертор на perl или VB набросай - для такого спеца как ты это ведь
пара пустяков!:)

Персональный антивирус... Вам дискетки уже не носят? Счастливые...
Виндузятник

2Виндузятник:
>Персональный антивирус... Вам дискетки уже не носят? Счастливые...
Ага... А инфицированные CD MS уже не рассылает?:)

to anonymous :

>не нужно использовать аргументы "друзья и знакомые".

Поясни почему.

>А по сути, файрволл не нужен.

Ну тут можно поспорить хотя ненужно. Отправляйся на google и читай до
посинения. Я тебе прописные истины разжевывать не буду.

>Тем более, все эти штуки частенько криво написаны, и работая в ядре,
>любят блюскринить.

На моём Windows XP ещё ниразу небыло bs. Заключаем что Sygate Personal
Firewall написан коректно ;)

>Добавлю по поводу патчей. Многие из них можно и не инсталлировать,
>поскольку эскалация может быть только локальной. Критических патчей,
>действительно важных, было совсем не много. Жаль, микрософт не
>ранжирует их нормально, а все валит в кучку.

Ну вот ты сам и опровергнул миф, о котором тут заявляется на каждом
углу, о простоте использования windows update которым может (так же
как и windows) пользоваться каждый непосвященный компьютерный делитант
(и бабушка Irsi ;)

Irsi кстати тоже это упорно опровергает этот миф, хотя сам того не
замечает :0)

>И, как я уже писал, во внешний мир модемным и дсл (pppoe) соединением
>в ХР ничего не смотрит акромя tcp/ip

Вот отсюда поподробней, что ты имеешь ввиду под "не смотрит акромя tcp/ip"

2anonymous (*) (2003-06-06 17:00:41.378631):
> А насчет различия между О и ОЕ, да, какая нафиг разница, механизмы работы с сообщениями одни и те-же
Упс... админ называется... если я открою бальшой секрет ты не сильно удивишся? Механизмы работы сообщениями у них __принципиально__ разные...:)
> *nix - многопользовательская, а вин - однопользовательская среда
LOL!!! Админ блин...:) Явно ничего окромя 9х в глаза не видел...:)

С какими из? Первая версия, с которой я "болавался" была 2.х, точный х уже не помню...:) Плотно начал работать начиная с 3.1, с NT начал работать начиная с 3.51, полностью отказался от 9х после выхода исторического NT4SP3 :) Ну да, с юниксами я столкнулся немного раньше чем с виндами, это точно... еще на СМ1420 было дело...:)

2vilfred: рекомендую поставить хотя бы 17хх и получите большую надежность... А еще лучше - 26хх и т.д., в зависимости от размера сети... А можете еще PIX поставить например... Вообщем надежность можно повышать до предела...
А от встроенного в ХР фаервола отказываются обычно не по причине надежности (он весьма в этом плане неплох, благо писался не мелкософтом), а по причине очень ограниченной возможности настройки под какие-либо нужды, исключая наиболее распостраненые.

2MrBool: подсказка - прочитайте что такое RDP, может понятней станет о чем это я...:) Тема о патчах здесь никаким боком не лежала...:)

to Irsi :

Ты не ответил на вопрос :

Можно ли исходя из твоих заявлений заключить что установка патча
необязательны так как все можно сделать через "политика входа по
RDP..." ?

Саныч, мы говорим про специалистов или собирателей цидулек и железяк?

А систем. интегратор, серт. партнер МС это не специалисты ?

Да хоть кто бы ставил, это были счастливые времена, когда патча еще

не было, а вирт. магазин должен был работать.

2Led: это удаление гландов, электродом и через анальное отверстие...:)

2MrBool: а что сложного? если не знаешь чего ставить - ставь все...:) Расчитано на домохозяйку и это верно. Да, на WU междумордия для Adwanced Users нет и их это напрягает, но не сильно...

То что smb-сервисы на внешнем интерфейсе в ХР отключены по дефолту...

to Irsi :

>подсказка - прочитайте что такое RDP, может понятней станет о чем это
>я...:)

Я его пользую, так что в сад твой совет :)

>Тема о патчах здесь никаким боком не лежала...:)

Лежала. Тебя за хвост не тянули встревать в разговор с умной рожей.
Отвечай на вопрос.

2MrBool: да какие блин патчи?! мы о совсем другом говорили, не о патчах блин!!! :) Я не знаю с чего ты на патчи переключился...:)

2MrBool: ладно, подсказка - я доебался до дефолтное разрешение логинится рутом по ссш... и удивился почему в ответ никто не доебался к виндовой политике кого пускать по рдп, а кого нет...:) Что имхо говорит о полном незнании виндов здешними критиками оных :)

Ну да, с юниксами я столкнулся немного раньше чем с виндами, это точно... еще на СМ1420 было дело...:)

Чего юзал ? Demos или INMOS ? Винчестеры уже были ?

У меня где-то лента загрузочная с DEMOS еще валяется :)

Ставилась на 2 rk диска по 2.5 М каждый и работала на 256к памяти

2Irsi: Какой UNIX ты пускал на 1420?

to Irsi :

>да какие блин патчи?! мы о совсем другом говорили, не о патчах блин!!!
>:) Я не знаю с чего ты на патчи переключился...:)

Irsi, склероз в таком молодом возрасте это плохо.

Когда я ткнул Ogr'а в http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/b...
ты влез в разговор с умной мордой про RDP так как именной патч описанный
по ссылке выше устраняет дыру которой могут воспользоваться локально
залогинившись в том числе и по RDP.

Отвечай на вопрос :

Можно ли исходя из твоих заявлений заключить что установка патча
необязательны так как все можно сделать через "политика входа по
RDP..." ?

2Irsi
> А насчет различия между О и ОЕ, да, какая нафиг разница, механизмы работы с сообщениями одни и те-же
>Упс... админ называется... если я открою бальшой секрет ты не сильно удивишся?
а я другой админ, юниксовый уже, и удивляться после работы с вин перестал :-)
>Механизмы работы сообщениями у них __принципиально__ разные...:)
И какими же _принципами_ они различаются? хтмл у них не такой хтмл-ный или актив х не такой активный?
> *nix - многопользовательская, а вин - однопользовательская среда
>LOL!!! Админ блин...:) Явно ничего окромя 9х в глаза не видел...:)
Ты русский язык уже забыл и не отличаешь слов много_задачный_ и много_пользовательский_ (multitask, multuiser)? Или переменные окружения с реестром спутал с перепугу после "болавания" с 2-ми виндами. Видать сильно тебя юниксы толкнули.

to Irsi :

>ладно, подсказка - я доебался до дефолтное разрешение логинится рутом
>по ссш... и удивился почему в ответ никто не доебался к виндовой
>политике кого пускать по рдп, а кого нет

Надоже какую мульку придумал :)) Концы-то Irsi у тебя хреново сходятся.
Долго думал как отпиздеться ?

Отвечай на вопрос :

Можно ли исходя из твоих заявлений заключить что установка патча
необязательны так как все можно сделать через "политика входа по
RDP..." ?

2 Саныч
Вам надо объяснять разницу между специалистом и челом с бумажкой? Вы меня очень сильно удивляете. ;;;)
Я таких историй про забугорных юниксовых админов с сертификатами могу пару десятков точно рассказать.
Почему один после вуза идет в разработчики, а другой с трудом на эксплуатацию попадает? Дипломы-то одинаковые.
Виндузятник

to Irsi :

>их это напрягает, но не сильно...

Напрягает, причем сильно. Logout по 10-15 минут, и shutdown примерно
столько же.

2Irsi:
>это удаление гландов, электродом и через анальное отверстие...:)
Это то, что делают компиляторы и интерпретаторы. Предлагаешь писАть
софт в хекс-эдиторе прям в машинных кодах?:)

Ладно, то что Irsi пиздобол мы уже итак знали.
Может в следующем месяце ещё сюда загляну.
bye

Вам надо объяснять разницу между специалистом и челом с бумажкой? Вы меня очень сильно удивляете. ;;;)

Статус партнера имела фирма, а не один человек.

Или они специально всех идиотов в одно место собрали ?

Может Вы как сециалист, расскажете что делать

DoS RPC Endpoint Mapper для NT4 ?

Купит w2k/xp не предлагать.

2MrBool:

Деинсталлируй патчик. Какой - погуглись по ньюс-группам.

Насчет файрволла - на одном из форумов было. Парень очень хорошо объяснил, почему можно не пользоваться им, а достаточно snorta. Я уж и не помню, где это было.

Справедливости ради нужно добавить, что такое использование предполагает уровень вышего среднего, т.е. четко представляешь, что делаешь. Для чайника ессно нужен файрволл, я даже спорить не хочу :)

Падал у меня agnitum - драйверок там кривой. И когда я смотрел их последний раз - полгода назад примерно, ни один из этих продуктов не умел работать с Fast user switching. Тот, кто первый залогинился, тот и рулит. А у меня на домашнем компе постоянно три логина висит.

Насчет tcp/ip - винда по умолчанию не включает netbios на внешние соединения, что практически исключает всякие нехорошести. Зараза может быть захвачена изнутри через почту, либо через ненастроенный iis (и то, постараться нужно)

Sun-ch, нига ни! Dr.WEB ловит bugbear на раз! А ваще-та эти антивирьевцы явно имеют своего чела среди вирусописак. Чтоб биз работы ни астатца.

2MrBool: нет нельзя. И это не я отмазался, а типа ты не просек о чем речь идет...:)

2Sun-ch: BSD 1.х или 2.х, если память мне не изменяет... ДЕМОС имхо был несколько позже и на ее основе кстати... :)
Угу, у меня два таких блина до сих пор на антресолях валяются... Только вот на 248К он ставился...:) Впрочем у СМ1420 было аж 2М ОЗУ...:) Кстати, для тех кого замучала ностальгия рекомендую - http://www.pdp11.org.ru :)

2anonymous (*) (2003-06-06 17:40:05.331926): угу... а при чем здесь хтмль?
Я отличаю многопользовательский и многозадачный. Скажи что по-твоему противоричит понятию многопользовательской среды в NT-based? Только сначала лучше дай определение что такое многопользовательсткая среда :)

Ирси, а скажите, сколько стоят приведенные Вами лицензионные продукты??

2Sun-ch: да кстати, поделись с народом pdp11.org.ru образом ленты с ДЕМОС? Если есть на чем снять... Впрочем где живую PDP-11/75 я знаю где найти, правда это в Питере...:)

2MrBool: то что тебе сказать нечего, я уже давно понял...:)

> 3. Дыра, через которую оно распостраняется закрыта месяца три-четыре назад... > 4. Про серверные версии антивирусов слышал?

Только у нас опять почтовый сервер полураком стоит от моря сообщений с Bugbear.2. Нет, не падает. Просто загрузка высокая, а sendmail насторен на переход в состояние ожидания при ее некотором пороге.

> 2Irsi >>1. Компулента - желтая пресса. > Скажи еще красная :-). То есть если компьюлента пишет о вирусах, > то их на самом деле нет, это фантастика :-)

Вот тут я готов Irsi поддержать целиком и полностью. Желтее некуда. Да, пишут правду, но иногда, не всегда всю и, как правило, даже если пишут, то не в чистом виде.