|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Maxim Timofeyev 2:5030/1763.1 05 Apr 2001 13:38:09
To : Aleksey Barabanov
Subject : Re: drweb.ru news
--------------------------------------------------------------------------------
AB> Hо imho переодически поднимается
AB> вопрос о целесообразности размещения разных сервисов на одном хосте с
AB> файрволом.
Да. Такой вопрос периодически поднимается... мною... ;)
К сожалению чаще всего ответ, либо тишина, напоминающее приблизительно
следующее: "Лучше бы не ставили всякие там *nix'ы ибо стоит NT, которую мы
умеем администрировать и все работает. А вот эти *nix'ы..." ну и т.д. с
намеком на то, что они нафиг не нужны ибо на их любимой NT понавешано столько
севисов, что когда запускаешь какой-нибудь сканер они светяться как новогодние
елки. ;(
AB> Только такие размещения происходят всегда по экономическим
AB> соображениям.
Я могу сказать, что в нашем случае это скорее не экономические причины.
У нас, к сожалению, мало кто заботиться о хотя бы маломальской защите
информации. А когда об этом начинает кто-нибудь думать то сразу упирается в
кучу препятсятвий.
AB> У меня например все тоже в одном ящике. Вообще все. Hо вот
AB> бинда я поставил только для внутренних пользователей. Планируемое
AB> размещение бинда для всех будет производится скорее всего на отдельно
AB> взятой машинке.
Hу если на то пошло при всей дырявости отдельно взятого сервиса ИМХО нет
смысла для каждого ставить отдельный компьютер. ;)
Hа самом деле основная проблема дырявости бинда --- исполняемый стек.
Hа той машине, где был наложен патч от исполняемого стека таких проблем не
наблюдалось. Hа машине, которая практически была взломана был наложен патч
LIDS, но 1. наложенная версия патча авторами признана несколько не секьюрной,
а во вторых в этот патч не входит патч от неисполняемого стека.
К сожалению по неизвестной мне причине в официальных ядрах данная проблема
присутствует. ;( Сейчас я собираюсь скрещивать lids и данный патч.
И хотя lids мне не очень нравиться, но помочь может.
>> Если новую багу не найдут. ;)
AB> Се ля ви. Hо так ли это часто происходит ? И так ли часто мы будем
AB> забывать апгрейдится. Hа всю эху только двое забывчивых.
Что-то я сомневаюсь что так мало забывчивых. ;) Скорее всего остальные
стесняются об этом сказать вслух.
AB> Я даже думаю, что традиционный подход применяемый для поиска файловых,
AB> т.е. статических вирусов, тут вообще не подходит. Т.к. файловых вирусов
AB> в юникс практически нет. А с вирусами в активном состоянии боротся
AB> программами типа "скачал и запустил" вообще невозможно. Тем более с
AB> червями.
lion лезет через bind используя ту же проблему со стеком. Я тут наткнулся
на библиотеку от Avaya Labs (www.research.avayalabs.com), так вот при ее
помощи можно избавиться от проблемы с исполняемым стеком и без патча на
ядро. Она грузиться через LD_PRELOAD и контролирует вызовы особо опасных
функций. Вчера проверял --- работает.
--
[2:5030/763@fidonet.org] [tma@tma.spb.ru] [http://tma.spb.ru]
--- tin/pre-1.4-19990517 ("Psychonaut") (UNIX) (Linux/2.2.12-20 (i586))
* Origin: A poorly-installed InterNetNews site (2:5030/1763.1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: drweb.ru news |
Maxim Timofeyev |
05 Apr 2001 13:38:09 |
|
|
