From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Thu, 7 Sep 2006 20:46:17 +0400 From: =?koi8-r?B?5MXOydMg883J0s7P1w==?= To: =?koi8-r?B?y9XM2NTV0s7ZyiDPxtTP0MnL?= Message-ID: <20060907164617.GD7060@localhost.localdomain> References: <20060904093412.GC9087@osdn.org.ua> <20060904112545.GA3703@localhost.localdomain> <20060905024228.19852509@dhcppc0> <20060904223234.GA18504@localhost.localdomain> <20060906003513.2b8c7391@dhcppc0> <20060905203137.GA16522@localhost.localdomain> <20060907032226.1175b0b5@dhcppc0> <20060906224616.GA14121@localhost.localdomain> <20060907083518.754aeafe@dhcppc0> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20060907083518.754aeafe@dhcppc0> Subject: Re: [room] =?koi8-r?b?yyDTzM/X1SDPIMzJxMXSwcggyczJINPUwcfOwcPJyQ==?= X-BeenThere: smoke-room@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: =?koi8-r?b?y9XM2NTV0s7ZyiDPxtTP0MnL?= List-Id: =?koi8-r?b?y9XM2NTV0s7ZyiDPxtTP0MnL?= List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 07 Sep 2006 16:46:32 -0000 Archived-At: List-Archive: On Thu, Sep 07, 2006 at 08:35:18AM +0500, Aleksey Korotkov wrote: >> Ну для начала рекомендую сделать ls -l /home в Debian. AK> А что там? Пока посмотреть не могу; писал, что временно на Федоре. А вы посмотрите, посмотрите. Там право на "зайти но не читать" на все домашние каталоги пользователей по-умолчанию. Таким образом если в домашнем каталоге завелся файл с правами на чтение для всех (а по-умолчанию чаще всего так и есть), его может прочитать любой другой пользователь, если знает его называние. >> Когда я первый >> разэто увидел, у меня шок был. Тяжелый. Потом рекомендую посмотреть >> на предмет chroot. Большинство сервисов в ALTзапускается в чруте, в >> отличии от. AK> Если я правильно понимаю, чрут от взлома, если что, не поможет. Неправильно понимаете, увы. Чрут это способ локализации проблемы. Скажем ну взломают у меня на хостинге bind. Хреново конечно, но обновления bind будет для меня достаточно чтобы о том взломе забыть. Ну и прибить, конечно, лишние процессы если были запущены. В Debian умолчальной конфигурации компрометация любого из сервисов означает компрометацию сервера целиком. >> Потом рекомендую посмотреть на большинство пакетов >> собираемых ldv. Потомпойти на openwall.org, почитать и подумать (Hint >> -- сборкисинхронизируются с openwall). AK> Это что -- намёк на то, что Дебиан несовместим с openwall? Что значит "совместим/не совместим"? О чем мы говорим? Достаточно пойти, скачать src.rpm того же openssh из ALT, и посмотреть на содержимое патчей. И подумать. Я подумал, вывод свой сделал. AK> По-моему, сравнивать можно только так: ставим рядом два сервера -- один AK> с Альтом, другой с Дебианом, накатываем все имеющиеся для данного AK> дистрибутива секурные патчи (если таковые есть), настраиваем и нанимаем AK> команду взломщиков. После чего анализируем: что взломано, за какое AK> время, насколько хреновые последствия и т.д. и т.п. А так всё AK> абстракции. Увы, это позволяет ловить только _известные_ уязвимости. А есть ещё средства для уменьшения последствий появления будущих уязвимостей. Тот же chroot к ним и относится. А не хочу всю жизнь судорожно вглядываться в почту, не пришло ли очередное уведомление о найденой дыре в каком-нибудь решете типа bind. И после этого трясущимися пальцами качать, собирать и устанавливать обновления. Я хочу _знать_, что если поимеют тот же bind, то в худшем случае испоганят DNS-зону. А данные окажутся целы и невредимы. >> А если меня замучает параноя, я начну грязно матерится и делать >> поддержкуSELinux в ALT. AK> Хе. А её там нет? Вот вам ваша хвалёная безопасность :) В Федоре есть. А проку-то? SELinux это не волшебная палочка "поставил и сразу все секьюрно". Мало его поставить, надо ещё и политики грамотно составить. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- > rebuild: rebuild of `cinepaint-0.18.1-alt1.1.src.rpm' failed. оно еще живое? в морг! -- shrek in devel@