IMNSHO:
>
Сыр-бор с удаленным программированием на сервере -- это надо будет записать где-нить.
<

Ну вы подставляетесь.
Говорите про МТА, потом что программист.

Если у вас сервер, то он, как я часто наблюдал, администрируется удаленно, а значит фрэймбуффер там не нужен.
Если вы программист, то что делаете в этом топике?
Действительно, зачем вам защищенная система?

А ананимусы правильно заметили:
Получается, что вы программируете на удаленном сервере,
да еще с МТА, который пашет, как та лошадь.
Мне это тоже показалось смешно.

Не в обиду.

Итак, разъясняю на пальцах.

Когда боишься rootkit'а, ядро компилируешь статически и запрещаешь загрузку модулей как таковую. Ты об этом? Или нет?

О сервисах был разговор... Ах да, я говорил о локальной дырке в ядре, на что анонимус сказал, "не пускай к консоли и поубивай сетевые сервисы". Хорошо. Сколько сетевых сервисов смогут сэксплуатировать сию дырочку, да еще и при намеренном влиянии извне, да еще чтобы злоумышленник исхитрился прочесть из памяти важную информацию и испариться? Прошу привести пример.

less /etc/services И не читайте на ночь линуксовых исходников :)

И еще о сервисах... Про пинг смерти слыхали? Замечательный был сервис :)

Just another anonymous

А у него сквид генерит пакетики. :))

less /etc/services И не читайте на ночь линуксовых исходников :)

И еще о сервисах... Про пинг смерти слыхали? Замечательный был сервис :)

Just another anonymous

Гыы я тебе вообще говорил что локальную уязвимость можно юзать удаленно. :)) Это ты меня тут переубеждал что к консоли никого не пустишь. :))) Вот и сказал тебе погаси еще сервисы, что бы всякими переполнениями или ошибками в твоем кодинге незя было бы эксплуатировать локальную уязвимость. :) Я же совет дал. :))

> Если вы программист, то что делаете в этом топике?

Под линукс программы уже не пишутся? А меня все это время имела Матрица?

> Действительно, зачем вам защищенная система?

Меня защищенность волнует с той стороны, что я обновляюсь в случае, если дыра гробит систему, когда программа вызывает совершенно безобидный syscall, причем в соответствии со спецификацией. Это заставляет вспомнить о нелюбимом оффтопике.

> Получается, что вы программируете на удаленном сервере, да еще с МТА, который пашет, как та лошадь.

Да нет, МТА был приведен как пример типичного флэйма. Нашли дырку в ядре, которую зачастую маловероятно эксплойтить, а шум поднимается: "я-то вот думаю, что мне мешает жить все это время! Вот оно!" В топике о сэндмэйле разговоры идут в том же ключе: "он не позволяет мне перегонять 10^N писем в минуту! В топку! Он так мешает жить!"

> Если у вас сервер, то он, как я часто наблюдал, администрируется удаленно, а значит фрэймбуффер там не нужен.

Бррр.. А где вы такое наблюдали?

И еще раз повторюсь. Либо уязвимость есть либо ее нет. :) Третьего не дано.

> И еще о сервисах... Про пинг смерти слыхали? Замечательный был сервис :)

Я уж и не упомню, в какой версии ядра это пофиксили. Вин16 действительно, замечательски падали. Найди баг еще древнее...

>Итак, разъясняю на пальцах.

Можно я вам лучше?

> Когда боишься rootkit'а, ядро компилируешь статически и запрещаешь

Программист говорите? А ядро можно динимически(:)) скомпиллировать?
А! Вы о загрузчике модулей!
Так вот "разъясняю на пальцах":
Куча производителей железок (очень нужных во многих компаниях)
поставляют свои драйверы в виде модулей....

И при чем здесь руткиты?

>
О сервисах был разговор... Ах да, я говорил о локальной дырке в ядре, на что анонимус сказал, "не пускай к консоли и поубивай сетевые сервисы". Хорошо. Сколько сетевых сервисов смогут сэксплуатировать сию дырочку, да еще и при намеренном влиянии извне, да еще чтобы злоумышленник исхитрился прочесть из памяти важную информацию и испариться? Прошу привести пример.
<

Нет, это мне не интересно.
А говорили вы вот что:
>
Слышь, клоун онанимный, ты внимательно читал о том, что уязвимость локальная? Ты читал внимательно еще о том, что ядро сетевых сервисов не предоставляет само по себе? Слыхивал о том, что засвечиваются только нужные сервисы, а не гроздья демонов, которые стоят у красноглазиков, впервые поставивших Красную Шапку?
<

Первое предложение пропустим, как не информативное...
но потом...

Так вот ядро, в вашем понимании, вообще ничего не предоставляет,
кроме как интерфейса взаимодействия его подсистем, в том числе модульной.

Дальше ответ на ваш вопрос.
(
Так как вы сразу не схватываете, то на этот:
Ты читал внимательно еще о том, что ядро сетевых сервисов не предоставляет само по себе?
)

К сожалению я тоже не читал,
а просто видел:
Ядро (не идеалогия, а Линукс) в стандартной поставле с kernel.org
содержит, вообще говоря, веб-сервер.

И не просите других учить мат. часть, коли сами ее не видели.

Надоело. Пока.

Не спрыгивай. Ты сказал что локальную уязвимость незя заюзать удаленно. :)) Мне глубоко пофигу на данную дыру, но она не одна! И с таким подходом патчить только удаленные-тебя через ненайденую уязвимость поимеют локально. :))

> Ядро (не идеалогия, а Линукс) в стандартной поставле с kernel.org содержит, вообще говоря, веб-сервер.

Да, есть Tux. Который мы успешно отключаем. Бывают же ошибки природы... Интересно узнать, правда, на скольких хостах оно работает.

работает ли эксплиот под cygwin??

>
Да, есть Tux. Который мы успешно отключаем. Бывают же ошибки природы... Интересно узнать, правда, на скольких хостах оно работает.
<
Хм... khttpd успешно работает на двух серверах,
на которых надо выбрасывать в свет статические странички.
Ресурсы, знаете ли, экономят люди.
(Я про сравнение с апаче....)

> Бывают же ошибки природы...

Извините, о Масса, мантейнеры, конечно, идиоты...
Как я этого не замечал?

> Хм... khttpd успешно работает на двух серверах, на которых надо выбрасывать в свет статические странички.

Правда, это необязательно, т. к. еще есть ghttpd и thttpd, и маленький заморыш, не помню чей, на дискетке с tomsrtbt (где-то байт под 990).

> При определенных условиях локальная уязвимость может быть использована и удаленно. ;))

Вот наглядный пример того, как легким движением руки...

http://www.us-cert.gov/cas/techalerts/TA04-217A.html

#>
Правда, это необязательно, т. к. еще есть ghttpd и thttpd, и маленький заморыш, не помню чей, на дискетке с tomsrtbt (где-то байт под 990).
#<

Ну не гоните вы, несет же...
Разговор был о сетевых сервисах в ядре, которое
в моем понимании, как, конечно, не такого опытного
и мудрого программиста и системщика, как вы,
есть то, что мы тянем с кернел.орг....

Так есть там сетевые сервисы...
Представляете?
И это только в "поставке"...
А сколько людей еще патчей да модулей понаписали
такого характера... Ууу-уу...

Приятно с вами общаться, правда, уму-разому набираюсь.

Похоже, у всех глаза застланы красной пеленой. Чем локальный эксплойт, запущенный юзером отличается от того же эксплойта, запущеного сетевым сервисом?

> Похоже, у всех глаза застланы красной пеленой. Чем локальный эксплойт, запущенный юзером отличается от того же эксплойта, запущеного сетевым сервисом?

Да уж тем, что сетевой сервис труднее убедить запустить эксплойт, чем локального юзера. Кто говорил "невозможно"? Стремится к невозможности -- было.

>> Да, есть Tux. Который мы успешно отключаем. Бывают же ошибки природы...

NFS - тоже ошибка природы?

> NFS - тоже ошибка природы?

Конечно. Ее пора опять в юзерспэйс перевести.

А iptables нужен или нет в ядре? ;)

>А iptables нужен или нет в ядре? ;)

А netfilter - это не сервис =)

А удаленные ошибки только в фтп бывают? ;)

А вы, кстати, не знали,
что, выдающийся программист,
IMNSHO уже несколько
дней мантейнер всех
веток ядер. И им было
принято решение переписать
все эти игрушки с нуля.

Цитата:
"
- Я не собираюсь продолжать проект,
который был создан какими-то необразованными
скриптописателями. Но я согласен руководить
новым движением под названием
IMNSHO-software c IMNSHOed source!
"

Из неофицальных источников также известно,
что он добавил:
"
- А начну я с того, что выкину все нах
из ядра вместе с разработчиками
вместе с этим, ну как его, б..,
ну вы знаете...
"


Я серьезен, как никогда.

>> NFS - тоже ошибка природы?

> Конечно. Ее пора опять в юзерспэйс перевести.

Вот когда nfs-user-server научится блокировки делать, вот тогда и можно переводить. Только как-то у него с этим туго.

еще про оверфлоу в libpng запостите=)

Magary, а трындеть ты мастак, однако! Где траву брал-то?

про userspace

> > NFS - тоже ошибка природы?

> Конечно. Ее пора опять в юзерспэйс перевести.

А почему только NFS? Чем другие FS лучше?

> А почему только NFS? Чем другие FS лучше?

Ну дорогой context-switch на x86, дорогой. Смирись.

P.S. Хотя конечно ОС - это OTP.

> Ну дорогой context-switch на x86, дорогой. Смирись.

Это не мне нужно смириться, а тому господину, которому NFS в ядре мешает.

">Это знамение прямо :-))
Разницу между бюджетами разработчиков linux и windows знаешь?"
А-а-а-а, бля! Что - теперь о бюджетах песню запели? Старые отмазы кончились?

"Если люди just for fun смогли сделать продукт, который на порядок качественней чем коммерческий - это уже заслуживает уважения."
Я тебя поправлю: на порядок уродливее.

"а тебе билли фтюхал своё г***, и ты ЗА СВОИ ЖЕ ДЕНЬГИ работаешь у него бета-тестером. круто, правда =)"
Угу. Только я не на него работаю, а на себя. Но работаю ведь, а не ядра компиляю?

> Только я не на него работаю, а на себя. Но работаю ведь, а не ядра компиляю?

Ядра, говоришь, не компиляешь? А ServicePack давно ставил?

> Только я не на него работаю, а на себя.

Да, на себя. Но - для него.

> Я тебя поправлю: на порядок уродливее.

Канешна, автомобиль супротив лошадки - уродец.

> а не ядра компиляю?

А-а-а... вон оно в чём дело.

>Канешна, автомобиль супротив лошадки - уродец. какой нибудь жигуль - всяко %)

> какой нибудь жигуль - всяко %)

Милай, ты лошадку-то живую видел?

А NFS в ядре - это для тех, кого секьюрити мало волнует, зато надо файлы быстро перекачивать. Например, в некоторых разновидностях кластеров (не HPC-шных), которые и так в trusted environment, и ломать их никто не будет. Та же история с Tux.

>Похоже, у всех глаза застланы красной пеленой. Чем локальный эксплойт, запущенный юзером отличается от того же эксплойта, запущеного сетевым сервисом?

С тобой всё в порядке? ЧТОБЫ ЗАЮЗАТЬ ЛОКАЛЬНУЮ БАГУ НАДО СНАЧАЛА ЗАЮЗАТЬ РЕМОУТНУЮ БАГУ. 2 раза надо ломать.

"> Только я не на него работаю, а на себя. Но работаю ведь, а не ядра компиляю?
Ядра, говоришь, не компиляешь? А ServicePack давно ставил? "

То-ли полгода, то-ли год назад...а что?

"> Только я не на него работаю, а на себя.
Да, на себя. Но - для него."
Хмм. У моего работодателя в паспорте другая фамилия.
Кстати, значит ли, что если ты пользуешься линуксом, то ты работаешь на горяччего финнского парняяя?

"С тобой всё в порядке? ЧТОБЫ ЗАЮЗАТЬ ЛОКАЛЬНУЮ БАГУ НАДО СНАЧАЛА ЗАЮЗАТЬ РЕМОУТНУЮ БАГУ. 2 раза надо ломать."

Надо просто за клаву сесть....не надо ремотную...

PS: где такую берёшь?

>>Поглядеть еще раз на FreeBSD повнимательней, что ли...
>Дык не пускай кого попало за консоль
дык не у всех Linux только на серверах стоит - кое у кого еще и на workstations :(

>> 2. Звездишь - стоит у тебя виндовсь. Иначе все твои заявления - пустой звук.

>Linux -- как презерватив. С ним -- опасно, без него -- еще опаснее. чем же это с ним (презервативом, в смысле) опасно?

>> 2. Звездишь - стоит у тебя виндовсь. Иначе все твои заявления - пустой звук.

>Linux -- как презерватив. С ним -- опасно, без него -- еще опаснее. чем же это с ним (презервативом, в смысле) опасно? Просвети нас, линуксоидов, а то перемрем от сифилиса как мухи и останутся на Земле одни маздайщики ;)))

Ядра, говоришь, не компиляешь? А ServicePack давно ставил?

А ты давно??

перемрем от сифилиса

Кроме сифилиса ничего и не знаем? ;)) Ну прям дела как с Линуксом. Кроме него ничего и не умеем. ;)

Да, на себя. Но - для него."

Я уссусь. :)) Ты хлеб ешь потому что он тебе нужен или потому что нужно его продать? ;))

Хмм. У моего работодателя в паспорте другая фамилия. Кстати, значит ли, что если ты пользуешься линуксом, то ты работаешь на горяччего финнского парняяя?

Гыыы, прикольный ответ. :)

"С тобой всё в порядке? ЧТОБЫ ЗАЮЗАТЬ ЛОКАЛЬНУЮ БАГУ НАДО СНАЧАЛА ЗАЮЗАТЬ РЕМОУТНУЮ БАГУ. 2 раза надо ломать."

:))) Но их же юзают. ;))

>:))) Но их же юзают. ;))

не юзают. их можно заюзать, если есть шелл. но на серваках как правило шеллы не раздаются.

>> не юзают

Конечно не юзают - это ведь в юниксах в принципе невозможно. CVS ruby-lang.org недавно на самом деле взломали, пропилив из подвала люк в серверную, только они в этом не хотят признаваться.

А как на счет переполнения буфера и выполнения кода? ;) Или он на другом сервере выполняется?

RTFM

> чем же это с ним (презервативом, в смысле) опасно?

Ууу... Как все запущено... RTFM до просветления. Ссылочки дать, аль сами google пользовать умеете?

> Просвети нас, линуксоидов, а то перемрем от сифилиса как мухи

Да идите вы, "линуксоиды", в... школу, и просвещайтесь, сколько влезет...