 |
|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Aleksey Barabanov 2:5020/400 08 Dec 2003 13:03:33 To : Anton Shuko Subject : Re: так ли необходим сетевой экран? -------------------------------------------------------------------------------- Anton Shuko wrote: > я на фрешмите софт ищу :) grsec вполне удовлетворяет для запроса > http://www.grsecurity.net Thanks, премного ! > это я так понимаю набор нескольких патчей в один + собственные наработки > етого дятьки. нехочешь pax - отключи. перешол на него пару лет назад с > ядрышком 2.4.18. до этого юзал 2.2 + опенвал. но оно устарело, а смп и ;) Hет. Теперь я думаю отключить Owl, а ПаКс поставить ;) > нетфильтр у 2.4 были куда лучше, чем 2.2. дождался .18, которое посчитал > достаточно стабильным > (в этом я не ошибся) и переехал на новое ядро + новая система > безопасности. Hо мне показалось или на самом деле в grsec развитие идет к RSBAC ? > делаю абстрактную диру, например /jail которая лежит на своём разделе. с > неё и начинается новый рут со всеми маунтами унутрь её. Понятно. Эстетично. А корень джайла формируется при первом запуске штатным путем ? Или это что-то вроде специально созданного корня по типу тех рутов что создаются для uml ? > AB> Вот именно всех в одну кучу это правильно. Я тоже к этому пришел. > причина простая: требуется несколько сервисов, которые работают в одном > окружении + юзерские акаунты фтп и шелл. разносить и маяться с правами - > это не наш путь. если dns может жить в отдельном жайле то нехай там и > дальше живет. а если нада ява, пхп, апач, перл, скрипты + девелоперов > пускать пошариться то лучше не заморачиваться с созданием исскуственной > среды, а взять стандартный дистрибут. У меня аналогичная цепочка рассуждений. > почитай как ретхаты сделали в своём AS. за что мне это решение > понравилось, что оно максимально совместимо с имеющимся софтом. обычная > система + немного измененные стартовые скрипты + демон + небольшой патч на > кернел для блокировки доступа к разделам при работе нескольких машинок с > одним внешним рейдом данные находятся во внешнем рейде, который через > скази-хаб подключен к 2-3 железкам. одна дохнет - другая перехватывает, > поднимает ip, поднимает нужные сервисы итп. для файловера такого типа > можно вообще самому на коленке переделать стартовые скрипты и написать > этого демона. патч на ядро не нужен. это если по какой-то причине ретхат > не нравится. сырцы ихнего сервера лежат в инете. блокировки и прочее у них > уже для кластерных решений. Очень похоже на HA. Если не трудно, урл на патч или ключ для поска через гугл, а то я с RH не работаю и не знаю их ресурсов. > AB> Читаю о 2.6 как сказку. Hо пока, скажем так до весны, это будет не > AB> актуально, увы. > в твоих силах не ждать сказку, а делать её былью. только гимору на пути > первопроходца достаточно... Я конечно могу направить свои силы на преумножение собственного гимора, но предпочетаю в этом вопросе сначала помечтать ;) А если серьезно, то я консерватор. У меня сейчас задача - быстренько все что надо перенести в SuSE90 на 21 ядро. -- Bye. Aleksey Barabanov <alekseybb at mail.ru> Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru --- ifmail v.2.15dev5.1 * Origin: home (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.linux/782437851199.html, оценка из 5, голосов 10
|
|
|