собственно субж. Почему так?
Ситуация: куплен школой сервант. Core2Duo, raid, windows 2003 server OEM. Всё более-менее работает, я туда не лезу, благо: а) есть кому кроме меня лазать, и б) я знаю что мои методы ковыряния в системе плохо совместимы с windows.
Подходит на днях, ко мне админ того сервака, и говорит: «ты radmin’а как-то криво поставил, когда он запущен сетка не работает», я делаю большие глаза, и отвечаю что никаких radmin’ов я туда не ставил. Хоть я и знаю оттуда пароль, но я ни разу туда не логинился. Да и нафига мне radmin, когда есть rdesktop. Собственно наши выводы я описывать не буду, всем и так, наверное понятно.
Заинтересовавшись в чём дело, я беру rdesktop и вхожу на сервант. Довольно долго пытался выяснить кто и когда и откуда на сервер входил — выяснил лишь когда, а кто и откуда так и не понял. В принципе, rdesktop был, и по-моему остаётся способом получить там админские права. Ибо догадаться до имени пользователя «Администратор» не сложно, а подобрать тот «сложный» пароль, который прикрывает учётку, хоть и сложнее логина, но вполне реально даже без специального софта. Ну да ладно, эта дыра — проблема свойственная не столько windows, сколько админу.
Дальше я лезу в список процессов. В глаза сходу бросаются два процесса Apache.exe. Думаю, почему два? Скан протов nmap’ом показывает порты связанные с samba, rdesktop, proxy (который был админом установлен), и ещё два апача, один на 80-том порту, второй на каком-то, я уже и забыл на каком. Первый, как быстро выясняется был поднят админом, и не страшен. Ищу второй, а он оказывается живёт вместе с дровами на raid контроллер, и предоставляет web-интерфейс к управлению raid-контроллером. Красивый такой интерфейс. Ни логинов, ни паролей, ни `Listen 127.0.0.1\′ в httpd.conf, ничего. Приходи кто хочет, и настраивай raid.
Это я к чему клоню: мне очень интересно какой дебил поставил в автозапуск web-интерфейс к управлению raid’ом? Автоматически при установке дров/утилит к железке, или заботливый продавец компа?
Половина безопасности OpenBSD — это настройки системы. В которой отключено всё что не надо. А здесь получается, что чем больше сервисов растопыришь во все стороны, тем круче?
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Ну понимаешь в чем дело, если все не включать по-умолчанию, то твой админ ничего там сделать не сможет и будет говорить что windows плохая и не дружелюбная система. А так он просто счастлив гордо зваться админом.
Уточнение:
То есть, ты хочешь сказать, что проще включить всё по-умолчанию, чем приделать к системе адекватный мануал по поднятию всего того, что система позволяет поднять?
С точки зерния маркетинга проще включить все по-умолчанию. Но если бы альтернативой был просто мануал, возможно он бы и был. Но здесь хуже дело обстоит, нужен адекватный администратор, способный прочитать этот мануал.
Спорный вопрос — учитывая последствия такой политики. Имидж будет раздавлен сводками по безопасности.
Можно скомпенсировать отчислениями на пеар.
Как минимум отчасти и массовом сознании.
В Unix выклчючено всё, что не нужно для включения ОС.
В Windows включено всё: и что нужно, и что не нужно.
Unix безопасна «из коробки», а Windows можно только попытаться до такого уровня довести. Правда, для этого надо будет кучу стороннего софта поставить.
Dr.Evil, вот тут, вот сейчас, ты под UNIX подразумевал SuSE? Это я к тому, что куда включено…
так, myst опять хочет поиграть в войну?
нет, я не имел в виду только openSUSE (именно так надо писать).
при некотором минимуме знаний и моторных рефлексов, винда доводится до условно-безопасного состояния минут за 20.
еще ориентировочно час-полтора — установка апдейтов. в принципе, можно обойтись только встроенным фаирволлом.
с первого раза — это недели две постепенного вкуривания что к чему.
на никсах последнее время не задумываюсь, ибо сервера не поднимал уже давно.
Ты хоть сам пробовал?
мне бы мануал по этому фаерволлу. а то я так и не понял как на нём всю маршрутизацию настроить.
Марщрутизацию файерволлом?! Интересно… Продолжай! =)
А почему бы и нет? iptables-то позволяет. Но я уже не верю, что в винде так можно.
Нет, не хочу. Тут нечего играть, с openSUSE, по умолчанию, ставится столько же говна, сколько и в венде. Всякие там network manager’ы и прочие hal’ы и ещё куча каких-то левых демонов. В том смысле в котором ты говорил про UNIX, там скорее на OpenBSD похоже.
Коли от Linux обычно требуют того, что делавет выньдоуз, то не вижу смысла отказывать себе в обратном.
не поверишь, пробовал, получилось.
Только ЕМНИП в винде (в отличие от OpenSUSE) от установки навяливаемого говна отвертеться ну никак не получится.
Левые они лишь с точки зрения весьма скромных требований к функциональности.
Я вот тоже до поры не понимал смысла системной авторизации через LDAP.
Сейчас проникся: да, есть ситуации когда она нужна.
hal — сущность того же порядка (честно скажу: сейчас я его прелести не понимаю и как следствие не принимаю).
Как только выходишь за рамки конструктивно заложенной функциональности, трудомкость обеспечения работоспособности (нужной тебе, а не заложенной разработчиками) резко возрастает. И совершенно не факт, что на базе OpenBSD ты сможешь построить более защищённую систему, чем на базе стандартного Linux’а.
Ну я вообще не админ, я защищённую систему не построю ;-) Но, если мы говорим о том, что в поставке ничего лишнего, то это точно не openSUSE. Хотя да, в openSUSE можно выкосить.
Я знаю :)
Паранойи много не бывает.
При этом затраты на добавление нужной, но изначально не предусмотренной функциональности обычно значительно превосходят сложность выноса лишнего.
Это везде может быть. Смотря какую функциональность и смотря куда нужно добавить.
iptables — не файерволл. И маршрутизацию он не настраивает.
Чё, и от вирусов защищает? И спам не даст рассылать, если станция уже с вирусом? Как?!
NetworkManager — очень полезная штука. Особенно, для тех, кто со своим ноутбуком ходит и на работу, и в командировку, и домой. В нём очень просто держать несколько конфигураций сетевых интерфейсов (например, намного проще, чем с традиционным 'ifup’, если на работе у тебя шнурок, а дома — wifi).
hal — это прослойка между udev и d-bus, который в свою очередь, прослойка между hal и DE. Новое веяние в интерфейсах для KDE/Gnome (т.е., как бы не совсем сусёвый каприз ;)). hal позволяет на основе информации о подключенном устройстве автоматически предлагать действие для него. Например, если вставить флешку, то автоматически выскочит нотификатор с предложениями о дальнейших действия с ней (смонтировать/отформатроавть/etc).
Ты, кстати, из всего «что ставится по умолчанию» выбрал одни из самых полезных фич ;). Хотя, да, соглашусь, что после установки suse руками всё-таки приходится делать 'chkconfig off' для некоторых сервисов. Но, лично к моему приятному удивлению, в 10.3 таких совсем уж мало (по сравнению с 10.0 и, уж тем более, 9.x).
Ну кому что полезно. У меня DE — это OpebBox, поэтому hal бесполезен. А net.man. бесполезен потому, что у меня уже всё настроено через ifupdown.
А что он?
Ты намекаешь, на то, что маршрутизация настраивается командой route? В общем да, но iptables поверх всего этого, может изменить ситуацию до неузнаваемости.
Он — фильтр пакетов =). А файерволл — это комплекс, включающий фильтр пакетов ;). Но это я придираюсь.
В плане маршрутизации — не может. Если ты намекаешь на действия 'PREROUTING' и 'POSTROUTING’, то они модифицируют пакет соответственно до и после принятия решения о маршрутизации. Это не совсем роутинг. Хотя, да, встроенный виндовый «брандмауэр» даже этого не может =).
а че?
если серьезно — им фполне реально перекрыть все порты кроме нужных. да, возможностей, считай, что и нет, но юзать теоретически можно.
kerio и MS ISA вроде бы могут.
Намёк про рассылку вирумсом спама был не случайным. Встроенный «брандмауэр» не умеет фильтровать исходящие соединения. Поэтому речи о защите винды только лишь встроенным брандмауэром быть не может.
В ISA под «роутингом» понимается аналог iptables’овского 'PREROUTING’. В Керио, сдаётся мне, также.
«Маршрутизация» же настраивается иными средствами. iproute2 — в лиунксе; вместе с настройками сетевого интерфейса в — винде (чессное слово, не знаю, как там глубже выглядит). Либо специализированными демонами (типа, routed).
Зло и ересь.
Нафиг надо!
Ага! И как всегда без аргументов и рациональных доводов ;).
в slackware 12 эта функция есть : ) но что бы её включить надо подредактировать файлики fstab и group : ) честно говоря незнаю тру ли это : )
group — это тру!
А fstab зачем?
не надо — отключи, а так вполне удобная функция
А fstab зачем? заместо owner записать user
Чтобы включить что? hal? Через fstab?! Гм =).
вполне возможно что я использую костыль, так как изначально строка /dev/cdrom закоментированна, вполне не исключенно что я делаю что то не правильно.
Ты наверное его не через hal используешь, а просто монтируешь(ручками) или автомаунт.
Ну дык автомонтирование — это максимум из того, что может иметь смысл.