Malakai
Лично я никого гуями итуями не обкладывал, я в всегда настраивал iptables, iproute2, squid, и т.д. руками.

Или я не о том?

Malakai
Интнересная и весьма фантастичная статья.

Они бы еще времена првого сервиспака вспомнили.

Хотя если вы желаете, я могу дать ва IP адрес одного из моих серверов, и вы можете исследовать его на предмет безопасности и защиты.

Malakai

1. Сначала получи права root
2. Потом добейся бинарной совместимости с различными дистрибутивами
3. Учти особенности всех существующих ядер

В общем гемморой еще тот... Подходит только к целенаправленой атаке. которую можно провести гораздо проще

INFOMAN
Вот. Правильно. Вообще на данный момент невозможно объективно сравнить эти системы с точки зрения безопасности, так как виндой пользуется большинство и, естественно, и писателям вредноносных программ легче написать malware под то, что стоит у всех, а не под пару (утрирую) компьютеров, на каждом из которых стоят разные и порой несовместимые даже между собой дистрибутивы линукса.

Unghost

ИМХО это от пользователя зависит, а не от того линуксойд этот самый пользователь или виндузятник.

А кто сказал, что это нужно всем виндузятникам? В принципе и без этой фичи можно обойтись. Но она есть, и это самое главное, ибо не помешает. А в линуксе ничего подобного кроме консольных утилит по проверке контрольных сумм нет.

Отредактировано Malakai (19-04-2006 09:23:36)

К тому же загрузка модулей должна быть включена, многие очень часто отключают возможность загрузки модулей.

Есть не только консольные но играфические утилиты для проверки контрольных сумм и цифвровых подписей.

А зачем мне собирать хчат с какого-нибудь vasjasoft2000.narod.ru? У меня же Gentoo Linux. Я наберу комманду:

# emerge xchat

И система сама скачает его только с авторизированных сайтов, проверит контрольную сумму, убедится что пакет не ломанный и не битый, и только тогда начнёт его компилировать, настраивать и устанавливать.

Зачем что-то делать самому, если всё автоматизировано и встроено в систему?

Linux преступен, и при неправильной или халатной настройке ломается легко. Ряд дыр, которые оставляют пользователи одинаковы для обоих систем (дыры в скриптах веб сервера например). Но в большинство дистрибутивов настроено по умолчанию сразу на максимальную безопасность, и что бы что-то открыть в них надо производить дополнительные настройки.

Например прокси сервер, по умолчанию в Gentoo Linux он сконфигурирован так, что доступ к нему имеет только локальный пользователь, что весьма удобно для домашнего пользования, поставил, а он уже сконфигурирован. Чтобы открыть к прокси серверу доступ другим пользователям, надо ковырять конфиги, а чел который ковыряет конфиги обычно знает что делает и даёт доступ только нужным пользователям/компьютерам, а если не знает, то ему и отключение от сети не поможет. Конечно если открыть доступ к прокси из инета, то злоумышленник сможет проникнуть в сеть, а то и налокальный компьютер.

Гм, говорят реально установить контроль приложений к сети, и даже пользователей, в общем iptables может фильтровать пакеты по GID, PID, UID и т.д.

Даже фейсы есть, отбражающие, кто куда ломится, например вот http://www.fs-security.com/screenshots.php.

Гм, а я даже и не знал.

Отредактировано ladserg (19-04-2006 11:09:44)

Когда как, поищу ещё инфу на предмет контроля по имени процесса, и по полному имени файла.

А почему нет?

А в чём сложности? Запрещаешь сначала доступ в сеть всем, затем начинаешь разрешать только нужным прогам, кда хочешь, откуда хочешь, на какой порт с какого порта, при каких условиях, и т.д.

А по содержимому пакетов отсеивать слабо? Так как здесь указано:

http://gazette.lrn.ru/rus/articles/ipta … sures.html

Не, вот в системе есть несколько файлов с именем, например, superproga. Если мы будем создавать правило по названию superproga, то под него будут попадать все файлы, которые называются superproga?