nixp.ru v3.0

18 октября 2017,
среда,
19:50:04 MSK

DevOps с компанией «Флант»
Аватар пользователя rgo
rgo написал 15 апреля 2008 года в 13:52 (622 просмотра) Ведет себя неопределенно; открыл 61 тему в форуме, оставил 1602 комментария на сайте.

собственно субж. Почему так?

Ситуация: куплен школой сервант. Core2Duo, raid, windows 2003 server OEM. Всё более-менее работает, я туда не лезу, благо: а) есть кому кроме меня лазать, и б) я знаю что мои методы ковыряния в системе плохо совместимы с windows.

Подходит на днях, ко мне админ того сервака, и говорит: «ты radmin’а как-то криво поставил, когда он запущен сетка не работает», я делаю большие глаза, и отвечаю что никаких radmin’ов я туда не ставил. Хоть я и знаю оттуда пароль, но я ни разу туда не логинился. Да и нафига мне radmin, когда есть rdesktop. Собственно наши выводы я описывать не буду, всем и так, наверное понятно.

Заинтересовавшись в чём дело, я беру rdesktop и вхожу на сервант. Довольно долго пытался выяснить кто и когда и откуда на сервер входил — выяснил лишь когда, а кто и откуда так и не понял. В принципе, rdesktop был, и по-моему остаётся способом получить там админские права. Ибо догадаться до имени пользователя «Администратор» не сложно, а подобрать тот «сложный» пароль, который прикрывает учётку, хоть и сложнее логина, но вполне реально даже без специального софта. Ну да ладно, эта дыра — проблема свойственная не столько windows, сколько админу.

Дальше я лезу в список процессов. В глаза сходу бросаются два процесса Apache.exe. Думаю, почему два? Скан протов nmap’ом показывает порты связанные с samba, rdesktop, proxy (который был админом установлен), и ещё два апача, один на 80-том порту, второй на каком-то, я уже и забыл на каком. Первый, как быстро выясняется был поднят админом, и не страшен. Ищу второй, а он оказывается живёт вместе с дровами на raid контроллер, и предоставляет web-интерфейс к управлению raid-контроллером. Красивый такой интерфейс. Ни логинов, ни паролей, ни `Listen 127.0.0.1\′ в httpd.conf, ничего. Приходи кто хочет, и настраивай raid.

Это я к чему клоню: мне очень интересно какой дебил поставил в автозапуск web-интерфейс к управлению raid’ом? Автоматически при установке дров/утилит к железке, или заботливый продавец компа?

Половина безопасности OpenBSD — это настройки системы. В которой отключено всё что не надо. А здесь получается, что чем больше сервисов растопыришь во все стороны, тем круче?

metal

Ну понимаешь в чем дело, если все не включать по-умолчанию, то твой админ ничего там сделать не сможет и будет говорить что windows плохая и не дружелюбная система. А так он просто счастлив гордо зваться админом.

Anarchist

Уточнение:

:s/админ/"админ"/
rgo
metal
Ну понимаешь в чем дело, если все не включать по-умолчанию, то твой админ ничего там сделать не сможет и будет говорить что windows плохая и не дружелюбная система.

То есть, ты хочешь сказать, что проще включить всё по-умолчанию, чем приделать к системе адекватный мануал по поднятию всего того, что система позволяет поднять?

metal
rgo
То есть, ты хочешь сказать, что проще включить всё по-умолчанию, чем приделать к системе адекватный мануал по поднятию всего того, что система позволяет поднять?

С точки зерния маркетинга проще включить все по-умолчанию. Но если бы альтернативой был просто мануал, возможно он бы и был. Но здесь хуже дело обстоит, нужен адекватный администратор, способный прочитать этот мануал.

Дмитрий Шурупов
metal
С точки зерния маркетинга проще включить все по-умолчанию.

Спорный вопрос — учитывая последствия такой политики. Имидж будет раздавлен сводками по безопасности.

Anarchist
Dmitry Shurupov
Имидж будет раздавлен сводками по безопасности.

Можно скомпенсировать отчислениями на пеар.

Как минимум отчасти и массовом сознании.

Dr. Evil

В Unix выклчючено всё, что не нужно для включения ОС.

В Windows включено всё: и что нужно, и что не нужно.

Unix безопасна «из коробки», а Windows можно только попытаться до такого уровня довести. Правда, для этого надо будет кучу стороннего софта поставить.

myst

Dr.Evil, вот тут, вот сейчас, ты под UNIX подразумевал SuSE? Это я к тому, что куда включено…

Dr. Evil
myst
Dr.Evil, вот тут, вот сейчас, ты под UNIX подразумевал SuSE? Это я к тому, что куда включено…

так, myst опять хочет поиграть в войну?

нет, я не имел в виду только openSUSE (именно так надо писать).

Code Monkey

при некотором минимуме знаний и моторных рефлексов, винда доводится до условно-безопасного состояния минут за 20.

еще ориентировочно час-полтора — установка апдейтов. в принципе, можно обойтись только встроенным фаирволлом.

с первого раза — это недели две постепенного вкуривания что к чему.

на никсах последнее время не задумываюсь, ибо сервера не поднимал уже давно.

fly4life
Code Monkey
в принципе, можно обойтись только встроенным фаирволлом.

Ты хоть сам пробовал?

rgo
Code Monkey
можно обойтись только встроенным фаирволлом.

мне бы мануал по этому фаерволлу. а то я так и не понял как на нём всю маршрутизацию настроить.

fly4life
rgo
мне бы мануал по этому фаерволлу. а то я так и не понял как на нём всю маршрутизацию настроить.

Марщрутизацию файерволлом?! Интересно… Продолжай! =)

rgo
fly4life
Марщрутизацию файерволлом?!

А почему бы и нет? iptables-то позволяет. Но я уже не верю, что в винде так можно.

myst
Dr. Evil
так, myst опять хочет поиграть в войну?

нет, я не имел в виду только openSUSE (именно так надо писать).

Нет, не хочу. Тут нечего играть, с openSUSE, по умолчанию, ставится столько же говна, сколько и в венде. Всякие там network manager’ы и прочие hal’ы и ещё куча каких-то левых демонов. В том смысле в котором ты говорил про UNIX, там скорее на OpenBSD похоже.

Anarchist
rgo
А почему бы и нет? iptables-то позволяет. Но я уже не верю, что в винде так можно.

Коли от Linux обычно требуют того, что делавет выньдоуз, то не вижу смысла отказывать себе в обратном.

Code Monkey
Ты хоть сам пробовал?

не поверишь, пробовал, получилось.

Anarchist
myst
Тут нечего играть, с openSUSE, по умолчанию, ставится столько же говна, сколько и в венде.

Только ЕМНИП в винде (в отличие от OpenSUSE) от установки навяливаемого говна отвертеться ну никак не получится.

myst
Всякие там network manager’ы и прочие hal’ы и ещё куча каких-то левых демонов.

Левые они лишь с точки зрения весьма скромных требований к функциональности.

Я вот тоже до поры не понимал смысла системной авторизации через LDAP.

Сейчас проникся: да, есть ситуации когда она нужна.

hal — сущность того же порядка (честно скажу: сейчас я его прелести не понимаю и как следствие не принимаю).

myst
В том смысле в котором ты говорил про UNIX, там скорее на OpenBSD похоже.

Как только выходишь за рамки конструктивно заложенной функциональности, трудомкость обеспечения работоспособности (нужной тебе, а не заложенной разработчиками) резко возрастает. И совершенно не факт, что на базе OpenBSD ты сможешь построить более защищённую систему, чем на базе стандартного Linux’а.

myst

Ну я вообще не админ, я защищённую систему не построю ;-) Но, если мы говорим о том, что в поставке ничего лишнего, то это точно не openSUSE. Хотя да, в openSUSE можно выкосить.

Anarchist
myst
Ну я вообще не админ

Я знаю :)

myst
я защищённую систему не построю ;-)

Паранойи много не бывает.

myst
Но, если мы говорим о том, что в поставке ничего лишнего, то это точно не openSUSE. Хотя да, в openSUSE можно выкосить.

При этом затраты на добавление нужной, но изначально не предусмотренной функциональности обычно значительно превосходят сложность выноса лишнего.

myst

Это везде может быть. Смотря какую функциональность и смотря куда нужно добавить.

fly4life
rgo
А почему бы и нет? iptables-то позволяет. Но я уже не верю, что в винде так можно.

iptables — не файерволл. И маршрутизацию он не настраивает.

fly4life
Code Monkey
не поверишь, пробовал, получилось.

Чё, и от вирусов защищает? И спам не даст рассылать, если станция уже с вирусом? Как?!

fly4life
myst
Нет, не хочу. Тут нечего играть, с openSUSE, по умолчанию, ставится столько же говна, сколько и в венде. Всякие там network manager’ы и прочие hal’ы и ещё куча каких-то левых демонов. В том смысле в котором ты говорил про UNIX, там скорее на OpenBSD похоже.

NetworkManager — очень полезная штука. Особенно, для тех, кто со своим ноутбуком ходит и на работу, и в командировку, и домой. В нём очень просто держать несколько конфигураций сетевых интерфейсов (например, намного проще, чем с традиционным 'ifup’, если на работе у тебя шнурок, а дома — wifi).

hal — это прослойка между udev и d-bus, который в свою очередь, прослойка между hal и DE. Новое веяние в интерфейсах для KDE/Gnome (т.е., как бы не совсем сусёвый каприз ;)). hal позволяет на основе информации о подключенном устройстве автоматически предлагать действие для него. Например, если вставить флешку, то автоматически выскочит нотификатор с предложениями о дальнейших действия с ней (смонтировать/отформатроавть/etc).

Ты, кстати, из всего «что ставится по умолчанию» выбрал одни из самых полезных фич ;). Хотя, да, соглашусь, что после установки suse руками всё-таки приходится делать 'chkconfig off' для некоторых сервисов. Но, лично к моему приятному удивлению, в 10.3 таких совсем уж мало (по сравнению с 10.0 и, уж тем более, 9.x).

myst

Ну кому что полезно. У меня DE — это OpebBox, поэтому hal бесполезен. А net.man. бесполезен потому, что у меня уже всё настроено через ifupdown.

rgo
fly4life
iptables — не файерволл.

А что он?

fly4life
И маршрутизацию он не настраивает.

Ты намекаешь, на то, что маршрутизация настраивается командой route? В общем да, но iptables поверх всего этого, может изменить ситуацию до неузнаваемости.

fly4life
rgo
А что он?

Он — фильтр пакетов =). А файерволл — это комплекс, включающий фильтр пакетов ;). Но это я придираюсь.

rgo
Ты намекаешь, на то, что маршрутизация настраивается командой route? В общем да, но iptables поверх всего этого, может изменить ситуацию до неузнаваемости.

В плане маршрутизации — не может. Если ты намекаешь на действия 'PREROUTING' и 'POSTROUTING’, то они модифицируют пакет соответственно до и после принятия решения о маршрутизации. Это не совсем роутинг. Хотя, да, встроенный виндовый «брандмауэр» даже этого не может =).

Code Monkey
Чё, и от вирусов защищает? И спам не даст рассылать, если станция уже с вирусом? Как?!

а че?

если серьезно — им фполне реально перекрыть все порты кроме нужных. да, возможностей, считай, что и нет, но юзать теоретически можно.

splinter
Марщрутизацию файерволлом?! Интересно… Продолжай! =)


kerio и MS ISA вроде бы могут.

fly4life
Code Monkey
а че?

если серьезно — им фполне реально перекрыть все порты кроме нужных. да, возможностей, считай, что и нет, но юзать теоретически можно.

Намёк про рассылку вирумсом спама был не случайным. Встроенный «брандмауэр» не умеет фильтровать исходящие соединения. Поэтому речи о защите винды только лишь встроенным брандмауэром быть не может.

fly4life
splinter
kerio и MS ISA вроде бы могут.

В ISA под «роутингом» понимается аналог iptables’овского 'PREROUTING’. В Керио, сдаётся мне, также.

«Маршрутизация» же настраивается иными средствами. iproute2 — в лиунксе; вместе с настройками сетевого интерфейса в — винде (чессное слово, не знаю, как там глубже выглядит). Либо специализированными демонами (типа, routed).

Anarchist
fly4life
hal позволяет на основе информации о подключенном устройстве автоматически предлагать действие для него. Например, если вставить флешку, то автоматически выскочит нотификатор с предложениями о дальнейших действия с ней (смонтировать/отформатроавть/etc).

Зло и ересь.

Нафиг надо!

fly4life
Anarchist
Зло и ересь.

Нафиг надо!

Ага! И как всегда без аргументов и рациональных доводов ;).

splinter
Зло и ересь.

Нафиг надо!

в slackware 12 эта функция есть : ) но что бы её включить надо подредактировать файлики fstab и group : ) честно говоря незнаю тру ли это : )

metal
splinter
в slackware 12 эта функция есть : ) но что бы её включить надо подредактировать файлики fstab и group : ) честно говоря незнаю тру ли это : )

group — это тру!

А fstab зачем?

pol

не надо — отключи, а так вполне удобная функция

splinter

А fstab зачем? заместо owner записать user

fly4life
splinter
в slackware 12 эта функция есть : ) но что бы её включить надо подредактировать файлики fstab и group : ) честно говоря незнаю тру ли это : )

Чтобы включить что? hal? Через fstab?! Гм =).

splinter

вполне возможно что я использую костыль, так как изначально строка /dev/cdrom закоментированна, вполне не исключенно что я делаю что то не правильно.

metal
splinter
вполне возможно что я использую костыль, так как изначально строка /dev/cdrom закоментированна, вполне не исключенно что я делаю что то не правильно.

Ты наверное его не через hal используешь, а просто монтируешь(ручками) или автомаунт.

Anarchist
metal
Ты наверное его не через hal используешь, а просто монтируешь(ручками) или автомаунт.

Ну дык автомонтирование — это максимум из того, что может иметь смысл.