ladserg
Я про приложения/процессы, а не про пользователей. Там ведь ты привел ссылку про блокирование приложений, а не про пользователей.
ЗЫ А чем тебя в винде не устраивают group policy, если уже о пользователях зашла речь.

ladserg

А по подробней? Ты составляешь правила iptables для конкретных приложений? Или ты создаешь общее (запрет) правило, а потом делаешь из него исключения?

Отредактировано Malakai (19-04-2006 14:21:07)

ladserg
Разрешение доступа по имени процесса — это полный примитив и дыра в системе. А если троян будет называться firefox? Так что признай, что слив защитан.  В любом нормальном фаере проверка ведётся по хэшам, а не именам.

ladserg

Их мало, но они в тельняжках (), они есть. С увеличением популярности линукса неизбежно возрастет и количество всякой дряни под линукс. И мне кажется, что большинство пользователей линукса это застанет в расплох, так как серьёзно с безопасностью в линуксе на нормальном уровне знакомы лишь единицы. А у остальных лишь ложное чувство неуязвимости основанное опять-таки на интернет-мифах про сверхбезопасность линукса и сверхнебезопасность винды.

Чем? Iptables? Или отдельную прогу надо прикручивать?

Где? В правилах ptables? По умолчанию там вообще ничего нет, а тем более блокирования процессов. Ты сам об этом только сегодня вычитал, и уже оказывается, что по умолчанию у всех стоит запрет. Покажи мне такой дистр, где это есть по умолчанию. Да будет тебе известно, что многие дистры вообще не включают файрволл по умолчанию.

Отредактировано Malakai (19-04-2006 15:32:24)

А там драйвер патчить надо, руки.sys зовётся , если вы уж политику по умолчанию на запрет поставить не можете, то это клиника.

Malakai
Т.е. вы здаётесь?

Malakai

Групповые политики... На домашней машине... Сильно сказано! То есть я дома должен поднять лес домена (это как минимум первычный и вторичный контроллёры домена), втянуть свою машину в домен и назначать групповые политики? Да... Ради того чтоб ограничить доступ сына к компьютеру заводить две лишних машины? Тогда ещё нужен шлюз в DMZ, чтоб ограничить доступ к домену из внешнего мира!

ladserg
fdisk /mbr

Что-то я того... В NT нет этой команды. Получается только с диска восстановления или установщик в режиме восстановления запустить.

Отредактировано ViRUS (19-04-2006 16:05:56)

Не знал, я всё больше по линуксу. Подскажи пожалуйста, где на установочном диске её искать, а тоя я её что-то найти не могу.

Ну уж извини если обидел, я думал ты надо мной издеваешься, любой пример в документациях по настройке фильтров начинается с этих строк:

$IPFILTER -P INPUT DROP;
$IPFILTER -P FORWARD DROP;

Да и не зависит это от системы, везде запрещают всё и дают только неоходимые разрешения.

Понял.

Умолчания меняешь сам. Имеется в виду умолчания для тех случаев, которые не указаны. Вот и получается, что указываешь по умолчанию все пакеты дропать, а затем начинаешь разрешать, выход в инет, скачивание и отправку почты, если ты при этом не разрешил доступ к своему веб серверу, то и доступа к нему не будет.

У меня на домашнем компе крутятся apache, openldap, firebirdsql и иные сервера, конечно запрещать доступ ко всем по очереди не актуально, дешевле определить политику на запрет.

Malakai
В линуксе цепочка исходящих зовётся OUTPUT, её тоже приходится править, по банальной причине, деньги.

Любой виндовый комп раз в период шлёт запрос в сеть всем компам, с цель. выяснить кто есть, мало того что ей тут же начинают отвечать (что создаёт трафик, за который надо платить), так ещё и злоумышленники сразу узнают что у тебя винда.

У меня на сервер до 15 мегов в день приходит таких широковещательных запросов, заколебали блин.

Есть и другая причина закрывать исходящие, это трояны под виндой. Троянам надо то порой только отправить инфу, и не более того.

Malakai
Всего не предусмотришь, взять тот же WinDVD, он ведь тоже какую то инфу шлёт, акробат ридер в последнее время ругают за этот грех, говорят что он что то шлёт в инет при открытии документов.

Отредактировано ladserg (19-04-2006 17:05:55)