ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Oleg Drokin                          2:5020/400     17 Sep 2002  16:20:07
 To : tma
 Subject : Re: chroot vs named? (ссори за возможный оффт)опик
 -------------------------------------------------------------------------------- 
 

 Hello!
 
 tma <tma@f1763.n5030.z2.fidonet.org> wrote:
 
 OD>> linuxconf нету (от него было решено отказаться, хотя я и так его никогда не
 OD>> ставил). Всяких прочих пользовательских штучек которые ты так не любишь у
 OD>> меня
 OD>> нет потому что я их и так не ставил. ;)
 OD>> Hо если ты их поставил и тебе они мешают - ругай только себя.
 t> Хочешь сказать, что последние RH'ты ставят только то, что ты выбрал и не
 t> пытаются втихушку установить то, что им нужно? Сомневаюсь. Хотя мои знания
 
 Всегда так было в expert mode.
 
 t> RH'атов основываются на версиях 6.2 и ниже ибо выше я больше не ставил и
 t> ставить не буду даже на десктоп. Проблемы с локализацией и т.п. у них
 t> наверное никогда не переведуться.
 
 Какие такие проблемы с локализацией? ;)
 
 OD>>>> дыры, а кто нет - неясно. Hо я тебе скажу точно - дыры все пропускают ;)
 t>>> Hо в некоторых случаях пропуск дыры в одной программе не так страшно, как в
 t>>> RH, где все окружение дыряво. ;(
 OD>> Hаблюдается какая-то прямо дискриминация, то есть в RH априори все дыряво,
 OD>> а в
 OD>> XXX Linux - нет? Так небывает.
 t> Можно риск свести к минимуму. менно об этом я и толкую. Конечно каждому
 t> человеку присуще ошибаться...
 
 Hу так я и свел риск к минимуму, с помощью RH. ;)
 Потому что отдельные люди могут и ощибаться, конечно, зато у RH есть хоть
 какая-то видимость работающего QA.
 
 OD>> Как и практически в любой unix-alike OS - если ты даешь человеку локальный
 OD>> шелл - ты даешь ему root access. Впрочем не стоит обольщаться, если ты ему
 OD>> не
 OD>> даешь shell - это еще ни о чем не говорит ;)
 t> Говорит. Дать тебе ftp доступ на моей машине? Ломай. =)
 
 Знаешь в чем заключается разница между ftp доступом и локальным шеллом? ;)
 Ты лучше предложи Солар Дизайнеру денег некоторое количчество и скажи свой IP,
 
 При достаточно большом количестве денег, он покажет тебе рутовый шелл в
 обозримое время ;)
 
 t>>> Кстати о каком патче идет речь? Их море.
 OD>> Помнится он так и назывался- openwall kernel patch.
 t> У... Это только капля в море. Как-то в одной переписке Соляр сказал мне, что
 t> данный патч почти ненужен если используешь их платформу (Owl). Я почему-то
 t> ему доверяю. Тем более, что с момента перехода на Owl ни один мой сервер
 t> не пострадал. Под RH'атом (по моей вине -- не успел все дыры залатать, но
 t> именно о защищенности дефолтовой установки я и говорю!) меня взламывали.
 
 А может быть сейчас твоим серверам больше не доверяют важных данных
 ради которых стоило бы напрягаться и их ломать? ;)
 
 t>>> Странный ты какой-то. Зачем нужна ссылка, если достаточно набрать netstat?
 OD>> [green@shrek ~]$ netstat
 OD>> Active Internet connections (w/o servers)
 OD>> и дальше список established connections.
 OD>> Hи cлова про то что RH рекомендует открывать по умолчанию все.
 t> Можно рекомендовать прямо, а можно - косвенно. Когда по дефолту у тебя
 t> светиться все, как новогодняя елка это и говорит о косвенной рекомендации RH.
 
 Дак ведь RedHat ничего практически не светит наружу по дефолту о чем я тебе уже
 третье письмо подряд твержу.
 
 OD>>>> Вот например inn - подефолту не стартует, даже если поставлен.
 OD>>>> А вот firewall стартует по дефолту не так, что "по дефолту все
 OD>>>> разрешено".
 OD>>>> sendmail слушает только 127.0.0.1
 OD>>>> bind не стартует, ну и тп.
 t>>> Может они исправились? (шепотом ;-)).
 OD>> Вряд ли, ведь все так дружно в голос ругают RH
 t> Hе все -- ты их ярый защитник. =)
 
 Я тоже ругаю, но по существу ;)
 
 OD>>>> Да, я там был. Имена тоже видел.
 t>>> Дык они должны о чем-то говорить. Вот к чему я...
 OD>> А в RH тоже есть "говорящие имена" ;)
 t> Я не говорю о том, что в RH работают идиоты. Даже в M$ есть умные головы. =)
 t> Речь о том, что поставив RH на сервер и не предприняв кучу мер безопасности
 t> в первые минуты (когда еще сетевой шнурок в хаб не воткнут на всякий
 t> случай;) ) ты рискуешь оказаться очередной жертвой. Поставив же Owl на сервер
 
 Гм. Голословные утверждения.
 
 t> ты можешь спокойно настраивать его завтра ибо на него хрен попадешь даже ssh
 t> по умолчанию никого не пустит ;)).
 
 Гм. Hе пустит или не запущен? Если не запущен, то как знать кого он впустит,
 а кого нет... ;)
 
 OD>>>> Я использую 2.4 кернел и sendmail. ;)
 t>>> Я тоже использую 2.4 ядро. Только не sendmail, а postfix.
 OD>> OW поставляется с 2.2.21blah ядром, как я понял из их сайта.
 OD>> postfix мне ненравится да и ресурсов много жрет.
 t> Hе замил я, чтобы ресурсов жрал много. От Соляра есть патч (правда не совсем
 
 А ты внимание обрати... По сколько занимает каждый новый процесс порождаемый
 постфиксом для кажного чиха. (да, я не спорю, что гораздо секурнее на кажный чих
 порождать процесс, а после чиха его завершить).
 
 t> доделанный) для 2.4.18 ядра. В 2.2.x по словам Соляра найдена неисправимая
 
 А для 2.4.19? А для 2.4.20-pre7? ;)
 
 t> недоделка в SMP, которой нет в 2.4.x. По этой причине Соляр и Ко решили
 t> перейти на 2.4.x, но все никак до конца не перейдут. ;)
 
 t> P.S. Давай расставим все точки над 'i'...
 t> Что бы ты меня понял: Я ругаю RH с точки зрения дефолтовой инсталяции и
 
 Какой из? Их там то ли три то ли четыре.
 
 t> безопасности его в таком видет оставлять в интернете с реальным IP.
 
 То ничего не будет страшного, если проапдейтить пакеты из апдейтсов, конечно.
 Учитывая то что пакеты можно апдейтить автоматически...
 
 t> Прикладывание напильника и прочих сил администратора к доводке отдельных
 t> пакетов и т.п. не имеет никакого отношения к RH ибо с таким же успехом можно
 t> установить на чистый HDD кучу пакетов вручную и получить супер защищенный
 t> сервер, но какими трудозатратами?!! Короче говоря я считаю, что трудозатраты,
 
 man up2date или как оно там? ;)
 
 t> потраченные на доводку RH до удобоваримого состояния сопоставимы с созданием
 t> собственного дистрибутива и не окупаются. поэтому я против RH на серверах.
 
 man mkkickstart или как оно там? ;)
 
 t> Моя позиция ясна? ;-)
 
 Да. В переводе твоя позиция звучит так: "Я тут попробовал OWL, и меня с тех пор
 никто не сломал, потому я ее буду юзать, а читать доки и разбираться - 
 это не для меня" ;)
 
 Bye,
     Oleg
 --- ifmail v.2.15dev5
  * Origin: Green's home news server (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор