|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey I Zavilohin 2:5020/400 22 Feb 2002 17:29:41
To : Andrey Melnikov
Subject : Re: "Стpашный" вопpос
--------------------------------------------------------------------------------
Andrey Melnikov <Andrey.Melnikov@p116.f1340.n5030.z2.fidonet.org> wrote:
> >> >> никто не ходил. не нуждается она в этом :)
> >> AZ> повторяю предыдущие свои две строки про самоограничение 8-)
> >> не устал еще ? ;)))
> AZ> да нет 8-) вдруг проникнешся - прочитаешь 8-)
> Ты еще пойди монахам порассказывай что саоограничение - есть нехорошо.
ну если вы монах
> >> >> >> 3. зачем мне nologin - когда я могу управлять доступом с
> >> >> >> помощью ipchains ? Моя задача - не дать зайти вообще внутрь,
> >> >> >> ниежли срать в messages о том что тут в нас третий час стучат
> >> >> >> уроды..
> >> >> AZ> что - nologin не выполняет эту задачу? причем выполняет на
> >> >> AZ> application левел - часто этого достаточно и вполне удобно для
> >> >> AZ> многих применений.
> >> >> HЕВЫПОЛHЯЕТ. проклятый PAM умудряется успеть наблевать в логи
> >> >> кого оно непустило. А мне этого ненадо. У нас с тобой разные
> >> >> понятия об ограничении доступа.
> >> AZ> мля - человек получил доступ или нет? нет - значит выполняет
> >> считаю что получил. Бо на машине что-то запустилось, загрузило
> >> библиотеки, куда-то полезло, плюнуло в лог и послало.
> AZ> на 25-ый порт - не боишся пускать никого? а на 53-ий? там страшней чаще
> AZ> на порядок 8-). Особенно с учетом последних проколов в бинде.
> Кому страшно ? Тебе страшно ? Hу проломят bind - попадут в chroot
> да еще и с юзерными правами. Чего они там делать то будут ?
ооо - вы считаете что chroot это защита? - от скрипткиддиз это да -
защита - но не сколько не от хакера. Да и давно ли появилась опция у
bind-а работать от юзера? и как оно работает на машине у которой есть
динамические интерфейсы?
Еще раз - обьясните чем сильно хуже отлуп на application уровне от
отлупа транспортного уровня? Меньше защищенность(сомнительно при
правильном дизайне) - зато больше гибкости в принятии решений.
> AZ> Hо ради этого пересаживаться на деревянные счеты - я просто не хочу.
> Да нет проблем. Вот только знаеш - иногда деревянные счеты
> используют в тех самых супермаркетах - когда сдохнет штрих-сканер,
> отвалиться касса или выключат свет. Счеты они понимаеш
> энергонезависымые... Hо вот только молодое поколение без
> калькулятора уже считать немогёт. привыкли панимаш к прогрессу.
ты где такие супермаркеты видел? в нашей деревне если свет вырубят -
обслуживание прекратят - ну за нашу контору я точно ручаюсь - что если
отрубается электричество (надолго) - мы становимся на прикол. Ибо все
сильно завязано на электронику.
> >> AZ> то что кроме pam вы еще и logrotate/анализаторы не используете -
> >> AZ> что ж это ваще еще одно ограничение 8-)
> >> да ? а по 15Mb логов в день ты нехотел ? При том что PAM оторван -
> AZ> хых - еще раз читай документацию на logrotate - ты вполне можешь
> AZ> хранить логи в районе определенного размера - я например хранил так
> AZ> select логи для mysql на живом сервере (для отлова глюка) - там 15М
> AZ> набегало в 30-40 минут и ниче крутился сервак - пока плюху не выловили
> AZ> 8-)) - все держал под контролем logrotate
> ну батенька - я не маньяк извращенец - лить все запросы в лог..
это был пример быстро растущего лога - если у вас в логи "срут" - то вам они
явно не нужны и надо вам их отправлять все в /dev/null
--
Every day it's the same thing -- variety. I want something different.
--- ifmail v.2.15dev5
* Origin: EMS JSC News Server (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: "Стpашный" вопpос |
Aleksey I Zavilohin |
22 Feb 2002 17:29:41 |
|
|
