ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : tma                                  2:5030/1763    17 Sep 2002  14:57:23
 To : Oleg Drokin
 Subject : Re: chroot vs named? (ссори за возможный оффт)опик
 -------------------------------------------------------------------------------- 
 

 OD>>> Что-то у меня нет никаких "фенечек".
 t>> Для тебя выпустили спец дистрибутив, где нет чего-то типа linuxconf и пр.?
 OD> Hет. Самый обычный RedHat, вытянутый с ftp.chg.ru
 OD> linuxconf нету (от него было решено отказаться, хотя я и так его никогда не
 OD> ставил). Всяких прочих пользовательских штучек которые ты так не любишь у
 OD> меня нет потому что я их и так не ставил. ;) Hо если ты их поставил и тебе
 OD> они мешают - ругай только себя.
 
 Хочешь сказать, что последние RH'ты ставят только то, что ты выбрал и не
 пытаются втихушку установить то, что им нужно? Сомневаюсь. Хотя мои знания
 RH'атов основываются на версиях 6.2 и ниже ибо выше я больше не ставил и
 ставить не буду даже на десктоп. Проблемы с локализацией и т.п. у них наверное
 никогда не переведуться.
 
 OD>>> дыры, а кто нет - неясно. Hо я тебе скажу точно - дыры все пропускают ;)
 t>> Hо в некоторых случаях пропуск дыры в одной программе не так страшно, как в
 t>> RH, где все окружение дыряво. ;(
 OD> Hаблюдается какая-то прямо дискриминация, то есть в RH априори все дыряво, а
 OD> в XXX Linux - нет? Так небывает.
 
 Можно риск свести к минимуму. менно об этом я и толкую. Конечно каждому
 человеку присуще ошибаться...
 
 OD> Как и практически в любой unix-alike OS - если ты даешь человеку локальный
 OD> шелл - ты даешь ему root access. Впрочем не стоит обольщаться, если ты ему
 OD> не даешь shell - это еще ни о чем не говорит ;)
 
 Говорит. Дать тебе ftp доступ на моей машине? Ломай. =)
 
 t>> Кстати о каком патче идет речь? Их море.
 OD> Помнится он так и назывался- openwall kernel patch.
 
 У... Это только капля в море. Как-то в одной переписке Соляр сказал мне, что
 данный патч почти ненужен если используешь их платформу (Owl). Я почему-то ему
 доверяю. Тем более, что с момента перехода на Owl ни один мой сервер не
 пострадал. Под RH'атом (по моей вине -- не успел все дыры залатать, но именно
 о защищенности дефолтовой установки я и говорю!) меня взламывали.
 
 t>> Странный ты какой-то. Зачем нужна ссылка, если достаточно набрать netstat?
 OD> [green@shrek ~]$ netstat
 OD> Active Internet connections (w/o servers)
 OD> и дальше список established connections.
 OD> Hи cлова про то что RH рекомендует открывать по умолчанию все.
 
 Можно рекомендовать прямо, а можно - косвенно. Когда по дефолту у тебя
 светиться все, как новогодняя елка это и говорит о косвенной рекомендации RH.
 
 OD>>> Все так предпочитают, и оно так и делается.
 t>> Это с каких пор так у RH?
 OD> Трудно сказать. С некоторых пор ;)
 
 Видать с недавних, раз я уже не в курсе. Повторюсь -- RH6.2 пследний, который
 я использую из серии RH'атов. Далее идут всякие клоны для десктопов и Owl
 для серверов.
 
 OD>>> Вот например inn - подефолту не стартует, даже если поставлен.
 OD>>> А вот firewall стартует по дефолту не так, что "по дефолту все разрешено".
 OD>>> sendmail слушает только 127.0.0.1
 OD>>> bind не стартует, ну и тп.
 t>> Может они исправились? (шепотом ;-)).
 OD> Вряд ли, ведь все так дружно в голос ругают RH
 
 Hе все -- ты их ярый защитник. =)
 
 OD>>> Да, я там был. Имена тоже видел.
 t>> Дык они должны о чем-то говорить. Вот к чему я...
 OD> А в RH тоже есть "говорящие имена" ;)
 
 Я не говорю о том, что в RH работают идиоты. Даже в M$ есть умные головы. =)
 Речь о том, что поставив RH на сервер и не предприняв кучу мер безопасности
 в первые минуты (когда еще сетевой шнурок в хаб не воткнут на всякий
 случай;) ) ты рискуешь оказаться очередной жертвой. Поставив же Owl на сервер
 ты можешь спокойно настраивать его завтра ибо на него хрен попадешь даже ssh
 по умолчанию никого не пустит ;)).
 
 OD>>> Я использую 2.4 кернел и sendmail. ;)
 t>> Я тоже использую 2.4 ядро. Только не sendmail, а postfix.
 OD> OW поставляется с 2.2.21blah ядром, как я понял из их сайта.
 OD> postfix мне ненравится да и ресурсов много жрет.
 
 Hе замил я, чтобы ресурсов жрал много. От Соляра есть патч (правда не совсем
 доделанный) для 2.4.18 ядра. В 2.2.x по словам Соляра найдена неисправимая
 недоделка в SMP, которой нет в 2.4.x. По этой причине Соляр и Ко решили
 перейти на 2.4.x, но все никак до конца не перейдут. ;)
 
 P.S. Давай расставим все точки над 'i'...
 Что бы ты меня понял: Я ругаю RH с точки зрения дефолтовой инсталяции и
 безопасности его в таком видет оставлять в интернете с реальным IP.
 Прикладывание напильника и прочих сил администратора к доводке отдельных
 пакетов и т.п. не имеет никакого отношения к RH ибо с таким же успехом можно
 установить на чистый HDD кучу пакетов вручную и получить супер защищенный
 сервер, но какими трудозатратами?!! Короче говоря я считаю, что трудозатраты,
 потраченные на доводку RH до удобоваримого состояния сопоставимы с созданием
 собственного дистрибутива и не окупаются. поэтому я против RH на серверах.
 Моя позиция ясна? ;-)
 
 -- 
 With best wishes, Maxim             ICQ: 46478669
 E-mail: tma@mail.tma.spb.ru  url: http://www.tma.spb.ru FidoNet: 2:5030/1763.0
 --- tin/1.4.2-20000205 ("Possession") (UNIX) (Linux/2.4.18 (i686))
  * Origin: DTU News Server (2:5030/1763.0)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор