Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | | |
Ну конечно! :)) 16.08.09 22:52 Число просмотров: 2608
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 17.08.09 00:41 Количество правок: 1
|
> > "Просто и дешево" ? Хорошая шутка!!! :)
> > Давай-ка посчитаем, сколько нужно времени и знаний,
> чтобы
> > поставить и сконфигурировать на FreeBSD хотябы
> следующие
> > службы: AD, DNS(AD itegrated), SMB
>
> При наличии знаний - одинаково. Без наличия знаний - нех.
> лезть.
Ну конечно! :))
Ты на вскидку даже не вспомнишь как называется дистрибутив подобия AD для *nix систем - в инете будешь лопатить. Не говоря уже о порядке установки, опциях конфигурирования ldap.conf, необходимости установки и настройки reference дистрибутивов.
Про отсутствие AD integrated в никсовом DNS и особенностях SMB рассказывать бессмысленно. Грамотное конфигурирование всего этого требует огромных временных затрат, если конфигурить руками с нуля без скриптов и темплейтов.
Все еще "одинаково"?
> > по сравнению с тем же набором в Windows Server 2008? Я
> уж
> > не говорю про сервер обновлений, распространение
> политик
> > безопасности, конфигурирование X'ов и пр...
> > И как ты думаешь, где эти службы будут стабильнее
> работать?
>
> А зачем им, вообще работать? Обновления ламеры должны
> получать из рук админа.
Обновления должны ставиться централизованно и желательно автоматически с сервера обновления. На долю пользователя админ может оставить выбор - установить обновления сейчас или при выключении.
> За файрволом в корпоративной сети все "политики"
> дожны рулиться Каталистами С ВЛанами,
> маршрутизацией и фильтрацией между подсетками.
Ты очень узко понимаешь определение "политика" - забываешь про политики безопасности и доступа к ресурсам локальной сети: (почтовые, файловые, БД службы, службы удаленного доступа), политики паролей, аудита, настройки и разрешения/запреты запуска программ и служб на рабочих станциях и т.д.
> Если же фирма девелоперская, то там все "сами с усами",
> а всякие среды разработки, типа Симатика, например,
> вынуждают городить внутри группы такие политики,
> которые не совместимы ни с чем и ни с кем (тока-что
> этой дряни накушался до бровей). Так, что вся эта
> централизация ничего, кроме гимороя не даст.
Смысл политик как раз в централизованном автоматическом распространении на узлы локальной сети, в противном случае, теряется сам смысл поняти "политика". Проблемы несовместимости ПО, мало коррелируются с "политикой".
> > Странное понимаение безопасности.
> > Ты понятия не имеешь о том, что безопасность всей
> локальной
> > сети определяется не безопасностью перимерта, а
> > безопасностью самого слабого узла сети.
>
> Самый слабый узел сети - мозги идиота, а их - не запатчишь.
> Так, что, либо периметр и кусачие админы, либо - привязка
> юзверя к порту свича и фильтрация. Естессно, всякий прямой
> обмен между станциями должен быт запрещен - только общий
> файл-сервер и все результаты работы - только на нем.
Никакой периметр не спасет от атаки изнутри, или подсадки через инет обозреватель вредоносного кода. А про "мозги идиота" в стандартах ISO нет ни слова. :))
Сколько стоит управляемый коммутратор, ограничивающий обмен между портами, против неуправляемого? Бюджетное решение?
> > > Я еще ни разу не встречал юзверя, сидящего
> > > в открытом Интернете, на компе которого не
> > > паслось бы целое стадо вирей и адварей.
> >
> > Зато я встречал. Сам таким пользователям софт
> настраивал. И
> > если эти пользователи следовали моим рекомендациям, то
> > проблем с вирусами не возникало.
>
> Знаешь, это уже не юзверь, если он рекомендациям следует и,
> главное, знает, как им следовать.
А кто? Системный администратор?
Задача пользователя, работающего в организации, соблюдать корпоративные политики, в т.ч. и политику информационной безопасности компании. т.е. следовать рекомендациям отдела ИТ. Не вижу большой разницы между домашним и корпоративным пользователем, тем более, что при современном развитии технологий граница "корпоративный-домашний" размывается все больше и больше.
Ты в тайге совсем одичал. ;)
> > > Безопасность тождественна профессионализму.
> > > И - только.
> >
> > Конечно! И в первую очередь тождественна
> профессионализму
> > разработчиков.
>
> Только потребителя. Иначе, ограничения, встроенные в
> систему будут противоречить Правам Человека. Вообще, дожен
> быть принцип: Каждое юридическое/физическое лицо в сети
> само и только само ответственно за свою безопасность.
> Всякая централизованная безопасность либо - невозможна,
> либо - насильственна. В фирме насильственная безопасность
> правомерна, а дома - и не допустима и не возможна.
Не будут, полюбому!
Если ты покупаешь и используешь продукт, ты соглашаешься со всеми правилами и органичениями на данный продукт, а также на все его особенности и умолчания в т.ч. И не надо тут "ля-ля" про права человека и все такое... Совершенно не уместно.
> Как максимум - сети с ответственной инфой, вообще, в Инет
> не пускать. А для работы и чтобы себе всякие "дырочки" в
> Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так
> модемы из дома не тащит и друзьям там Инет не раздает тока
> ленивый и совсем тупой), Ставить отдельные компы в Сети:
> скачал, записал на флешку, предъявил админу.
На ЖД, как и во многих гос.корпорациях, нормальные корпоративные политики либо отсутствуют, либо принципиально не исполняются никем, как раз по причине кумовства. Для нормальных организаций корпоративные политики запрещают отношения "начальник-подчиненный" для родственников.
> > > Прокся на Юниксе, КэшЭнджайн, Пикс.
> > > Для хранения данных - Сторадж, типа
> > > Симметрикса, на крайняк - встраиваемый РЭИД, при
> > условии,
> > > естессно, что система с прогами и данные - на
> разных
> > > дисках.
> >
> > Ага! А еще загрузка рабочих станций по сети для
> "экономии
> > средств на ЖД", оптика по всему офису с коммутатором
> > Cisco... Так?!
>
> Если нужна скорость и безопасность, то только так. Кстати,
> Симметрикс, для которого я некогда писал компаненты
> оптимизатора трафика и размещения данных, на полном серьезе
> доказывает, что централизованный сторадж с бездисковыми
> станциями экономически эффективнее.
Можешь представить расчет экономической целесообразности и сроках окупаемости (с учетом стоимости эксплуатации) данного решения для 10, 20, 30 рабочих станций в локальной сети? Сильно сомневаюсь...
> > Посчитай конечную стоимость и доступность этого
> решения для
> > сегмента малого и среднего бизнеса.
>
> Нашему малому бизнесу никакая безопасностьне доступна ни -
> по уму, ни - по деньгам
С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?
> > Ошибаешься! По статистике, б`ольшая часть взломов,
> > следствие ошибочного выбора набора ПО и использования
> > непропатченного ПО.
>
> А что это, если не глупость и неаккуратность?!
Согласен! Глупо и неаккуратно использовать нелицензионное ПО и таким образом ограничивать его безопасность.
|
|
<site updates>
|
Локальное повышение привилегий в ядрах всех Линуксов 14.08.09 02:08
Publisher: dl <Dmitry Leonov>
|
Локальное повышение привилегий в ядрах всех Линуксов
cr0 blog http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html
Если точнее, затрагивает все ядра 2.4 и 2.6, восходя аж к 2001 году. Связано с тем, что ряд функций ядра, наподобие sock_sendpage, не занимается проверкой полученного указателя на NULL, полагаясь на то, что соответствующие указатели будут корректно проинициализированы в обертках - таких как sock_no_sendpage. Однако в случае с sock_sendpage ошибка в макросе SOCKOPS_WRAP все же может привести к передаче в функцию нулевого указателя. Что и приводит к возможности внедрения кода, выполняющегося с правами ядра - достаточно положить его в нулевую страницу памяти. Патч уже доступен.
Замечу, что сама возможность подобного лихого обращения с нулевыми указателями в современной ОС вызывает некоторое недоумение - к примеру, в архитектуре Win32/64 подобные плюхи принципиально невозможны по причине блокировки любого доступа к адресам с 0x0 по 0xFFFF (0xFFF в случае Win'9x).
Полный текст
|
|
В linux это тоже невозможно. 14.08.09 17:19
Автор: aLEXt <Alex Trusty> Статус: Member
|
|
|
| |
Если факты противоречат религиозным убеждениям, то ну их нафиг эти факты 14.08.09 20:41
Автор: amirul <Serge> Статус: The Elderman
|
goto securityfocus, secunia, etc.
Поиск по линуксу выдает практически ровно в 10 раз больше всяческих предупреждений безопасности, чем по винде.
|
| |
но ведь тут каким-то образом проявилось 14.08.09 17:50
Автор: dl <Dmitry Leonov>
|
|
Причем не просто с вылетом, как это было бы при запрете доступа, а именно с escalation. Опять же и патч Линус зачем-то выпустил.
|
|
Решето! Винда и то в таких местах продуманей. 14.08.09 12:20
Автор: Статус: Незарегистрированный пользователь
|
|
|
| |
Да, но там этих мест больше. 15.08.09 07:42
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
В плане обеспечения безопасности сначала - снижение количества сущностей, а уж потом - обеспечение надежности оставшихся. Дверь, которой нет - не взломают, и в замурованное окно - не залезут.
|
| | |
Надо же. Ты еще и в линупсе искперт. 15.08.09 07:59
Автор: amirul <Serge> Статус: The Elderman
|
> В плане обеспечения безопасности сначала - снижение
> количества сущностей, а уж потом - обеспечение надежности
> оставшихся. Дверь, которой нет - не взломают, и в
> замурованное окно - не залезут.
И еще в методологии разработки ПО. Ты мой кумир
|
| | | |
Я эксперт по маразму. 15.08.09 10:40
Автор: Zef <Alloo Zef> Статус: Elderman
|
Для того, чтобы лечить от маразма музыканта или летчика не надо быть экспертом ни в музыке ни в авиации. Достаточно быть экспертом по маразму.
Неужели вы не видите, что мы создали цивилизацию с надежностью карточного домика? Переизбыток сущностей и взаимосвязей между ними сделал отказоустойчивость практически нулевой, а диагностику причин отказа - практически не возможной. Какая разница - Линух или Мастдай, причина ненадежности одна. Линух лучше тем, что у него ГУЙ и прочие прибамбасы не интегрированы в ядро и могут быть откручены (Тока, кто же их откручивает-то!), а хуже - неудобством настройки для неграмотного юзверя. Почему я и предпочитаю безгуёвый Юникс в качестве серверной платформы, что он проще всего. Кстати, вот и банки, то же, Солярочку предпочитают. К чему бы это?
Избыточный Мастдай был бы вполне допустим в качестве чисто-пользовательской рабочей станции, если бы его разработчики не заморачивались вопросами безопасности, а только устойчивости системы, а всю безопасность делегировали специализированным внешним устройствам и системам. Но попытка скрестить ужа с ежом приводит к тому, что юзверь просто путается во всех "безопасных" наворотах и делает еще хуже себе и другим. Впрочем, и Пингвины страдают тем же...
|
| | | | |
Купи Windows Server Core и получай удовольствие от... 15.08.09 12:45
Автор: Den <Денис Т.> Статус: The Elderman
|
> Для того, чтобы лечить от маразма музыканта или летчика не
> надо быть экспертом ни в музыке ни в авиации. Достаточно
> быть экспертом по маразму.
>
> Неужели вы не видите, что мы создали цивилизацию с
> надежностью карточного домика? Переизбыток сущностей и
> взаимосвязей между ними сделал отказоустойчивость
> практически нулевой, а диагностику причин отказа -
> практически не возможной. Какая разница - Линух или
> Мастдай, причина ненадежности одна. Линух лучше тем, что у
> него ГУЙ и прочие прибамбасы не интегрированы в ядро и
> могут быть откручены (Тока, кто же их откручивает-то!), а
> хуже - неудобством настройки для неграмотного юзверя.
Купи Windows Server Core и получай удовольствие от отсутствия ГУЯ! :))
Если сможешь...
> Почему я и предпочитаю безгуёвый Юникс в качестве серверной
> платформы, что он проще всего. Кстати, вот и банки, то же,
> Солярочку предпочитают. К чему бы это?
Что ты понимаешь под словом "проще"? Проще для пользователя, который должен хотябы знать о существовании команды man? :))
Ты не перестаешь меня удивлять.
> Избыточный Мастдай был бы вполне допустим в качестве
> чисто-пользовательской рабочей станции, если бы его
> разработчики не заморачивались вопросами безопасности, а
> только устойчивости системы, а всю безопасность
> делегировали специализированным внешним устройствам и
> системам.
Как же ты себе это представляешь?
> Но попытка скрестить ужа с ежом приводит к тому,
> что юзверь просто путается во всех "безопасных" наворотах и
> делает еще хуже себе и другим. Впрочем, и Пингвины страдают
> тем же...
Например?
|
| | | | | |
Действительно, зачем просто и дешево, если можно дорого и... 15.08.09 13:41
Автор: Zef <Alloo Zef> Статус: Elderman
|
> Купи Windows Server Core и получай удовольствие от
> отсутствия ГУЯ! :))
> Если сможешь...
Действительно, зачем просто и дешево, если можно дорого и сложно? Для этого, вообще-то есть совершенно бесплатная ФРЯ.
> Что ты понимаешь под словом "проще"? Проще для
> пользователя, который должен хотябы знать о существовании
> команды man? :))
Пользователь и безопасность - вещи не совместимые. Безопасным может только недопущение пользователя в открытую сеть и защита его от этой самой сети профессионалом. Я еще ни разу не встречал юзверя, сидящего в открытом Интернете, на компе которого не паслось бы целое стадо вирей и адварей. Безопасность тождественна профессионализму. И - только.
> > только устойчивости системы, а всю безопасность
> > делегировали специализированным внешним устройствам и
> > системам.
Я уже сказал, как: как минимум, Циска в качестве файрвола, настроенная спецом, естесственно. Прокся на Юниксе, Кэш Энджайн, Пикс. Для хранения данных - Сторадж, типа Симметрикса, на крайняк - встраиваемый РЭИД, при условии, естессно, что система с прогами и данные - на разных дисках.
> Пингвины
> страдают
> > тем же...
>
> Например?
Чего например? Вся Сеть знает, что 90% взломов - следствие кривых рук админа. Но тут, как я уже сказал, ест только 2 средства защиты - знания и аккуратность. Остальное - утопия и развод.
|
| | | | | | |
"Просто и дешево" ? Хорошая шутка!!! :) [upd] 16.08.09 16:48
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 16.08.09 17:02 Количество правок: 2
|
> Действительно, зачем просто и дешево, если можно дорого и
> сложно? Для этого, вообще-то есть совершенно бесплатная
> ФРЯ.
"Просто и дешево" ? Хорошая шутка!!! :)
Давай-ка посчитаем, сколько нужно времени и знаний, чтобы поставить и сконфигурировать на FreeBSD хотябы следующие службы: AD, DNS(AD itegrated), SMB
по сравнению с тем же набором в Windows Server 2008? Я уж не говорю про сервер обновлений, распространение политик безопасности, конфигурирование X'ов и пр...
И как ты думаешь, где эти службы будут стабильнее работать?
> > Что ты понимаешь под словом "проще"? Проще для
> > пользователя, который должен хотябы знать о
> существовании
> > команды man? :))
>
> Пользователь и безопасность - вещи не совместимые.
> Безопасным может только недопущение пользователя в открытую
> сеть и защита его от этой самой сети профессионалом.
Странное понимаение безопасности.
Ты понятия не имеешь о том, что безопасность всей локальной сети определяется не безопасностью перимерта, а безопасностью самого слабого узла сети.
> Я еще ни разу не встречал юзверя, сидящего
> в открытом Интернете, на компе которого не
> паслось бы целое стадо вирей и адварей.
Зато я встречал. Сам таким пользователям софт настраивал. И если эти пользователи следовали моим рекомендациям, то проблем с вирусами не возникало.
> Безопасность тождественна профессионализму.
> И - только.
Конечно! И в первую очередь тождественна профессионализму разработчиков.
> Я уже сказал, как: как минимум, Циска в качестве файрвола,
> настроенная спецом, естесственно.
А как максимум? :)
> Прокся на Юниксе, КэшЭнджайн, Пикс.
> Для хранения данных - Сторадж, типа
> Симметрикса, на крайняк - встраиваемый РЭИД, при условии,
> естессно, что система с прогами и данные - на разных
> дисках.
Ага! А еще загрузка рабочих станций по сети для "экономии средств на ЖД", оптика по всему офису с коммутатором Cisco... Так?!
Посчитай конечную стоимость и доступность этого решения для сегмента малого и среднего бизнеса.
> > Пингвины
> > страдают
> > > тем же...
> >
> > Например?
>
> Чего например? Вся Сеть знает, что 90% взломов - следствие
> кривых рук админа. Но тут, как я уже сказал, ест только 2
> средства защиты - знания и аккуратность. Остальное - утопия
> и развод.
Ошибаешься! По статистике, б`ольшая часть взломов, следствие ошибочного выбора набора ПО и использования непропатченного ПО.
|
| | | | | | | |
При наличии знаний - одинаково. Без наличия знаний - нех... 16.08.09 19:19
Автор: Zef <Alloo Zef> Статус: Elderman
|
> "Просто и дешево" ? Хорошая шутка!!! :)
> Давай-ка посчитаем, сколько нужно времени и знаний, чтобы
> поставить и сконфигурировать на FreeBSD хотябы следующие
> службы: AD, DNS(AD itegrated), SMB
При наличии знаний - одинаково. Без наличия знаний - нех. лезть.
> по сравнению с тем же набором в Windows Server 2008? Я уж
> не говорю про сервер обновлений, распространение политик
> безопасности, конфигурирование X'ов и пр...
> И как ты думаешь, где эти службы будут стабильнее работать?
А зачем им, вообще работать? Обновления ламеры должны получать из рук админа. За файрволом в корпоративной сети все "политики" дожны рулиться Каталистами С ВЛанами, маршрутизацией и фильтрацией между подсетками. Если же фирма девелоперская, то там все "сами с усами", а всякие среды разработки, типа Симатика, например, вынуждают городить внутри группы такие политики, которые не совместимы ни с чем и ни с кем (тока-что этой дряни накушался до бровей). Так, что вся эта централизация ничего, кроме гимороя не даст.
> Странное понимаение безопасности.
> Ты понятия не имеешь о том, что безопасность всей локальной
> сети определяется не безопасностью перимерта, а
> безопасностью самого слабого узла сети.
Самый слабый узел сети - мозги идиота, а их - не запатчишь. Так, что, либо периметр и кусачие админы, либо - привязка юзверя к порту свича и фильтрация. Естессно, всякий прямой обмен между станциями должен быт запрещен - только общий файл-сервер и все результаты работы - только на нем.
>
> > Я еще ни разу не встречал юзверя, сидящего
> > в открытом Интернете, на компе которого не
> > паслось бы целое стадо вирей и адварей.
>
> Зато я встречал. Сам таким пользователям софт настраивал. И
> если эти пользователи следовали моим рекомендациям, то
> проблем с вирусами не возникало.
Знаешь, это уже не юзверь, если он рекомендациям следует и, главное, знает, как им следовать.
> > Безопасность тождественна профессионализму.
> > И - только.
>
> Конечно! И в первую очередь тождественна профессионализму
> разработчиков.
Только потребителя. Иначе, ограничения, встроенные в систему будут противоречить Правам Человека. Вообще, дожен быть принцип: Каждое юридическое/физическое лицо в сети само и только само ответственно за свою безопасность. Всякая централизованная безопасность либо - невозможна, либо - насильственна. В фирме насильственная безопасность правомерна, а дома - и не допустима и не возможна.
>
> > Я уже сказал, как: как минимум, Циска в качестве
> файрвола,
> > настроенная спецом, естесственно.
>
> А как максимум? :)
Как максимум - сети с ответственной инфой, вообще, в Инет не пускать. А для работы и чтобы себе всякие "дырочки" в Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так модемы из дома не тащит и друзьям там Инет не раздает тока ленивый и совсем тупой), Ставить отдельные компы в Сети: скачал, записал на флешку, предъявил админу.
>
> > Прокся на Юниксе, КэшЭнджайн, Пикс.
> > Для хранения данных - Сторадж, типа
> > Симметрикса, на крайняк - встраиваемый РЭИД, при
> условии,
> > естессно, что система с прогами и данные - на разных
> > дисках.
>
> Ага! А еще загрузка рабочих станций по сети для "экономии
> средств на ЖД", оптика по всему офису с коммутатором
> Cisco... Так?!
Если нужна скорость и безопасность, то только так. Кстати, Симметрикс, для которого я некогда писал компаненты оптимизатора трафика и размещения данных, на полном серьезе доказывает, что централизованный сторадж с бездисковыми станциями экономически эффективнее.
> Посчитай конечную стоимость и доступность этого решения для
> сегмента малого и среднего бизнеса.
Нашему малому бизнесу никакая безопасностьне доступна ни - по уму, ни - по деньгам
> Ошибаешься! По статистике, б`ольшая часть взломов,
> следствие ошибочного выбора набора ПО и использования
> непропатченного ПО.
А что это, если не глупость и неаккуратность?!
|
| | | | | | | | |
Ну конечно! :)) 16.08.09 22:52
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 17.08.09 00:41 Количество правок: 1
|
> > "Просто и дешево" ? Хорошая шутка!!! :)
> > Давай-ка посчитаем, сколько нужно времени и знаний,
> чтобы
> > поставить и сконфигурировать на FreeBSD хотябы
> следующие
> > службы: AD, DNS(AD itegrated), SMB
>
> При наличии знаний - одинаково. Без наличия знаний - нех.
> лезть.
Ну конечно! :))
Ты на вскидку даже не вспомнишь как называется дистрибутив подобия AD для *nix систем - в инете будешь лопатить. Не говоря уже о порядке установки, опциях конфигурирования ldap.conf, необходимости установки и настройки reference дистрибутивов.
Про отсутствие AD integrated в никсовом DNS и особенностях SMB рассказывать бессмысленно. Грамотное конфигурирование всего этого требует огромных временных затрат, если конфигурить руками с нуля без скриптов и темплейтов.
Все еще "одинаково"?
> > по сравнению с тем же набором в Windows Server 2008? Я
> уж
> > не говорю про сервер обновлений, распространение
> политик
> > безопасности, конфигурирование X'ов и пр...
> > И как ты думаешь, где эти службы будут стабильнее
> работать?
>
> А зачем им, вообще работать? Обновления ламеры должны
> получать из рук админа.
Обновления должны ставиться централизованно и желательно автоматически с сервера обновления. На долю пользователя админ может оставить выбор - установить обновления сейчас или при выключении.
> За файрволом в корпоративной сети все "политики"
> дожны рулиться Каталистами С ВЛанами,
> маршрутизацией и фильтрацией между подсетками.
Ты очень узко понимаешь определение "политика" - забываешь про политики безопасности и доступа к ресурсам локальной сети: (почтовые, файловые, БД службы, службы удаленного доступа), политики паролей, аудита, настройки и разрешения/запреты запуска программ и служб на рабочих станциях и т.д.
> Если же фирма девелоперская, то там все "сами с усами",
> а всякие среды разработки, типа Симатика, например,
> вынуждают городить внутри группы такие политики,
> которые не совместимы ни с чем и ни с кем (тока-что
> этой дряни накушался до бровей). Так, что вся эта
> централизация ничего, кроме гимороя не даст.
Смысл политик как раз в централизованном автоматическом распространении на узлы локальной сети, в противном случае, теряется сам смысл поняти "политика". Проблемы несовместимости ПО, мало коррелируются с "политикой".
> > Странное понимаение безопасности.
> > Ты понятия не имеешь о том, что безопасность всей
> локальной
> > сети определяется не безопасностью перимерта, а
> > безопасностью самого слабого узла сети.
>
> Самый слабый узел сети - мозги идиота, а их - не запатчишь.
> Так, что, либо периметр и кусачие админы, либо - привязка
> юзверя к порту свича и фильтрация. Естессно, всякий прямой
> обмен между станциями должен быт запрещен - только общий
> файл-сервер и все результаты работы - только на нем.
Никакой периметр не спасет от атаки изнутри, или подсадки через инет обозреватель вредоносного кода. А про "мозги идиота" в стандартах ISO нет ни слова. :))
Сколько стоит управляемый коммутратор, ограничивающий обмен между портами, против неуправляемого? Бюджетное решение?
> > > Я еще ни разу не встречал юзверя, сидящего
> > > в открытом Интернете, на компе которого не
> > > паслось бы целое стадо вирей и адварей.
> >
> > Зато я встречал. Сам таким пользователям софт
> настраивал. И
> > если эти пользователи следовали моим рекомендациям, то
> > проблем с вирусами не возникало.
>
> Знаешь, это уже не юзверь, если он рекомендациям следует и,
> главное, знает, как им следовать.
А кто? Системный администратор?
Задача пользователя, работающего в организации, соблюдать корпоративные политики, в т.ч. и политику информационной безопасности компании. т.е. следовать рекомендациям отдела ИТ. Не вижу большой разницы между домашним и корпоративным пользователем, тем более, что при современном развитии технологий граница "корпоративный-домашний" размывается все больше и больше.
Ты в тайге совсем одичал. ;)
> > > Безопасность тождественна профессионализму.
> > > И - только.
> >
> > Конечно! И в первую очередь тождественна
> профессионализму
> > разработчиков.
>
> Только потребителя. Иначе, ограничения, встроенные в
> систему будут противоречить Правам Человека. Вообще, дожен
> быть принцип: Каждое юридическое/физическое лицо в сети
> само и только само ответственно за свою безопасность.
> Всякая централизованная безопасность либо - невозможна,
> либо - насильственна. В фирме насильственная безопасность
> правомерна, а дома - и не допустима и не возможна.
Не будут, полюбому!
Если ты покупаешь и используешь продукт, ты соглашаешься со всеми правилами и органичениями на данный продукт, а также на все его особенности и умолчания в т.ч. И не надо тут "ля-ля" про права человека и все такое... Совершенно не уместно.
> Как максимум - сети с ответственной инфой, вообще, в Инет
> не пускать. А для работы и чтобы себе всякие "дырочки" в
> Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так
> модемы из дома не тащит и друзьям там Инет не раздает тока
> ленивый и совсем тупой), Ставить отдельные компы в Сети:
> скачал, записал на флешку, предъявил админу.
На ЖД, как и во многих гос.корпорациях, нормальные корпоративные политики либо отсутствуют, либо принципиально не исполняются никем, как раз по причине кумовства. Для нормальных организаций корпоративные политики запрещают отношения "начальник-подчиненный" для родственников.
> > > Прокся на Юниксе, КэшЭнджайн, Пикс.
> > > Для хранения данных - Сторадж, типа
> > > Симметрикса, на крайняк - встраиваемый РЭИД, при
> > условии,
> > > естессно, что система с прогами и данные - на
> разных
> > > дисках.
> >
> > Ага! А еще загрузка рабочих станций по сети для
> "экономии
> > средств на ЖД", оптика по всему офису с коммутатором
> > Cisco... Так?!
>
> Если нужна скорость и безопасность, то только так. Кстати,
> Симметрикс, для которого я некогда писал компаненты
> оптимизатора трафика и размещения данных, на полном серьезе
> доказывает, что централизованный сторадж с бездисковыми
> станциями экономически эффективнее.
Можешь представить расчет экономической целесообразности и сроках окупаемости (с учетом стоимости эксплуатации) данного решения для 10, 20, 30 рабочих станций в локальной сети? Сильно сомневаюсь...
> > Посчитай конечную стоимость и доступность этого
> решения для
> > сегмента малого и среднего бизнеса.
>
> Нашему малому бизнесу никакая безопасностьне доступна ни -
> по уму, ни - по деньгам
С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?
> > Ошибаешься! По статистике, б`ольшая часть взломов,
> > следствие ошибочного выбора набора ПО и использования
> > непропатченного ПО.
>
> А что это, если не глупость и неаккуратность?!
Согласен! Глупо и неаккуратно использовать нелицензионное ПО и таким образом ограничивать его безопасность.
|
| | | | | | | | | |
Так я уже 5й год - не админ. А когда админю - написал... 17.08.09 05:35
Автор: Zef <Alloo Zef> Статус: Elderman
|
> Ну конечно! :))
> Ты на вскидку даже не вспомнишь как называется дистрибутив
> подобия AD для *nix систем - в инете будешь лопатить.
Так я уже 5й год - не админ. А когда админю - написал типовую схему, а от нее - тока конкретные вариации. В древности люди БЭСМ на АСМе кодили и - ничего, быстро: понаписали готовых процедур на все случаи жизни и из них лепили.
> > А зачем им, вообще работать?
Вот именно, работать, а не фигней страдать. Чего ему обновлять, если кроме 1Ски ему на рабочем месте ничего не положено? Разнообразный софт юзают тока кодеры или НИИ, но там безопасность либо такая:
> > За файрволом в корпоративной сети все "политики"
> > дожны рулиться Каталистами С ВЛанами,
> > маршрутизацией и фильтрацией между подсетками.
Либо - никакая.
> Ты очень узко понимаешь определение "политика" - забываешь
> про политики безопасности и доступа к ресурсам локальной
> сети: (почтовые, файловые, БД службы, службы удаленного
> доступа),
Это все решается на конкретных серверах. Например, группы формируются, как ВЛаны, обмен между ними - через файл-сервер.
политики паролей, аудита, настройки и
> разрешения/запреты запуска программ и служб на рабочих
> станциях и т.д.
Ненужных програм на рабочих станциях быть не должно, средств занести их туда - то же.
>
> > Если же фирма девелоперская, то там все "сами с
> усами",
> > а всякие среды разработки, типа Симатика, например,
> > вынуждают городить внутри группы такие политики,
> > которые не совместимы ни с чем и ни с кем (тока-что
> > этой дряни накушался до бровей). Так, что вся эта
> > централизация ничего, кроме гимороя не даст.
>
> Смысл политик как раз в централизованном автоматическом
> распространении на узлы локальной сети, в противном случае,
> теряется сам смысл поняти "политика". Проблемы
> несовместимости ПО, мало коррелируются с "политикой".
Так я и говорю, что поскоку фирмовый софт противоречит друг-другу, это не получится!
> Никакой периметр не спасет от атаки изнутри, или подсадки
> через инет обозреватель вредоносного кода.
Это - чисто админстративная проблема. Досмотр, пломбирование портов и драйвов, штрафы, увольнение, суд.
> Сколько стоит управляемый коммутратор, ограничивающий обмен
> между портами, против неуправляемого? Бюджетное решение?
Есть чего скрывать - найдутся и деньги на это. Нет денег - значит инфа не стоит безопасности. Если директор хочет сэкономить на этом, вариант один - самому стать спецом по безопасности и держать все на своем компе.
> А кто? Системный администратор?
Какая разница, как называется зверь, главное - редкий.
> Не вижу большой разницы между домашним и корпоративным
> пользователем, тем более, что при современном развитии
> технологий граница "корпоративный-домашний" размывается все
> больше и больше.
Домашнему пользователю нельза говорить "низзя", корпоративному - нужно.
> Ты в тайге совсем одичал. ;)
Тут осознание безопасности очень четкое: сам не позаботился - живым не вернулся. А детей одних в лес не пускают.
> На ЖД, как и во многих гос.корпорациях, нормальные
> корпоративные политики либо отсутствуют, либо принципиально
> не исполняются никем, как раз по причине кумовства. Для
> нормальных организаций корпоративные политики запрещают
> отношения "начальник-подчиненный" для родственников.
И где-ж это такие "нормальные" есть? И эффективны ли они?
> Можешь представить расчет экономической целесообразности и
> сроках окупаемости (с учетом стоимости эксплуатации)
> данного решения для 10, 20, 30 рабочих станций в локальной
> сети? Сильно сомневаюсь...
А заплатить мне за это $1000, этак, можешь? Базар-базаром, а работа - тока за деньги.
> С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?
Я знаком с хозяевами. Ни один хозяин не согласится с ограничениями, налагаемыми посторонним лицом: "Как же так, я порнуху качать не буду?".
> Глупо и неаккуратно использовать нелицензионное
> ПО и таким образом ограничивать его безопасность.
Да? А кто мне докажет, что в сем ПО нет закладок? ФСБ? И попутно еще пару туда засунет? Нет, ради моей безопасности - тока опенсорс!
|
| | | | | | |
Просто и дешево, лол 16.08.09 07:49
Автор: amirul <Serge> Статус: The Elderman
|
> Действительно, зачем просто и дешево, если можно дорого и
> сложно? Для этого, вообще-то есть совершенно бесплатная
> ФРЯ.
Фря кстати, чуть получше линупса (хотя тяжелое позиксовое наследие дает о себе знать), но все равно "Линукс бесплатен только для тех, чье время бесплатно". До некоторой степени это относится и к фре
> Пользователь и безопасность - вещи не совместимые.
> Безопасным может только недопущение пользователя в открытую
> сеть и защита его от этой самой сети профессионалом. Я еще
> ни разу не встречал юзверя, сидящего в открытом Интернете,
> на компе которого не паслось бы целое стадо вирей и
> адварей. Безопасность тождественна профессионализму. И -
> только.
Я встречал. В подавляющем большинстве случаев достаточно регулярных апдейтов (то есть дефолтные настройки). Если еще и антивирус стоит да файрвол включен, да UAC...
|
| | | | |
Ну разве что иксперт. Потому как на эксперта не тянешь вообще. Ни в одном вопросе, который я "имел счастье" с тобой обсуждать 15.08.09 10:48
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 15.08.09 13:12 Количество правок: 1
|
|
"Пацаны во дворе сказали, дриста - говно, @$а". И если школьники, которые несут неаргументированную чушь еще могут повзрослеть, то для тебя уже все слишком поздно.
|
| | | | | |
Причем здесь пацаны? 15.08.09 14:08
Автор: Zef <Alloo Zef> Статус: Elderman
|
Если уж у меня нет потребности переходить на Дристу, я, даже, вообразить не могу, зачем мне это может понадобиться, то у ламеров - и подавно. Ну, ладно - ХР, вроде бы, чуточку постабильней, чем 2к, зато в штатном "ламерском" варианте это сплошное тормозило. Кто не знает, как отключить восстановление системы, тот удавится нах. Ну что не грамотному юзверю может дать Дриста, кроме гимороя с освоением новой системы? Другую цветовую гамму на столе и менюхи не там, где он привык?
Ты пойми - всякое потребление идет от потребности! А все потребности и ХР удовлетворяет полностью.
А повод для злости уменя, между прочим, чисто шкурный: Дриста, Нет и Шарп сделали меня безработным. Теперь мне надо потратить уйму времени и средств не изучение глубоко мне омерзительных и, при этом, абсолютно бесполезных вещей, хотя я вполне в состоянии удовлетворить все мыслимые запросы любого заказчика на обычном С++, но он, видите ли, "вышел из моды"!
|
| | | | | | |
Подожди, ты ж не знаешь ни той ни другой. У тебя есть два... 16.08.09 04:00
Автор: amirul <Serge> Статус: The Elderman
|
> Если уж у меня нет потребности переходить на Дристу, я,
> даже, вообразить не могу, зачем мне это может понадобиться,
Подожди, ты ж не знаешь ни той ни другой. У тебя есть два варианта:
1. Положиться на мнение более грамотных товарищей и поставить таки новую ВЕРСИЮ той же ОС.
2. Оставаться на чем угодно - хоть на линупсе - но воздержаться от оценочных суждений по вопросам, в которых ты не разбираешься.
> то у ламеров - и подавно. Ну, ладно - ХР, вроде бы, чуточку
> постабильней, чем 2к, зато в штатном "ламерском" варианте
> это сплошное тормозило.
2к в штатном "ламерском" варианте просто не запускало две трети игрушек. XP была МЕДЛЕННЕЕ тукея (тукей медленнее 98-й, а 98-я медленее DOS-а) но при этом нормально запускала все игрушки, и была нормально
> Кто не знает, как отключить восстановление системы, тот удавится нах.
О, "твики" пошли. Ну расскажи зачем же отключать восстановление системы :-)
> Ну что неграмотному юзверю может дать Дриста, кроме гимороя с
> освоением новой системы? Другую цветовую гамму на столе и
> менюхи не там, где он привык?
UAC/UIPI? Новый NDIS с WFP (процентов 80 виденных мной багчеков на юзерских машинах были вызваны упавшим файрволом или антивирусом)? UMDF (остальные 20 - упавшим видеодрайвером)? KTM (напрямую пользователь от этого выиграть не может, но к примеру можно начать инсталляцию в транзакции и в случае ошибки начисто откатить все изменения)? И еще десятки других фич, от которых пользователь получает профит либо напрямую, либо косвенно - через обеспечение более удобных интерфейсов для программистов, которые пишут под эту платформу и соответственно дают на выходе более качественный код.
Но раз пацаны тебе говорят говно, значит говно - хули
> Ты пойми - всякое потребление идет от потребности! А все
> потребности и ХР удовлетворяет полностью.
Да я знаю, что для тебя любые технологии моложе 15 лет - происки сатаны. Переубеждать тебя я не хочу, но был бы весьма признателен, если бы ты держал свое профанское мнение при себе.
> А повод для злости уменя, между прочим, чисто шкурный:
> Дриста, Нет и Шарп сделали меня безработным. Теперь мне
> надо потратить уйму времени и средств не изучение глубоко
А почему они не сделали безработным меня? Может попробуешь поискать причину еще раз?
> мне омерзительных и, при этом, абсолютно бесполезных вещей,
> хотя я вполне в состоянии удовлетворить все мыслимые
> запросы любого заказчика на обычном С++, но он, видите ли,
> "вышел из моды"!
Из моды, говоришь? http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
На плюсах можно писать хорошо, но для этого таки надо уметь это делать.
Восторгов по поводу .net я не разделяю, но настроен по поводу него гораздо менее скептически, чем несколько лет назад. Я бы с удовольствием писал на чем нибудь типа схемы, и оптимизировал боттлнеки вручную на C++/C/asm. Если бы этой самой схемы была такой же полноты class library и такой же уровень внедрения как у шарпа. Шарп же мне особо не дает преимуществ перед плюсами, но при этом таки тормозит (что бы там ни утверждали евангелисты). Только поэтому я на нем и не пишу, а не по каким то религиозным мотивам.
|
| | | | | | |
Спец должен быть грамотным, и тогда его никто не будет нагибать -- вон, Amirul сидит на Ц/Цпп под вендой, и никто его на шарп пересаживать не собираиццо ;) 15.08.09 16:11
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
| | | | | | | |
Я его компетентность не оспариваю 15.08.09 18:22
Автор: Zef <Alloo Zef> Статус: Elderman
|
Тока, у него немного больше возможностей для выбора.
А, кроме того, возможности для выбора в результате появления всяких новых ненужностей, все равно, сильно сократились. Потребитель туп, он требует не того, что нужно и достаточно, а того, что модно. И хрен ему что докажешь - кто платит, тот и заказывает музыку. Всеми этими "новомодностями" самим же себе дорогу перекрываем. Вместо опытных и квалифицированных кодеров вперед пролазят молокососы, едва освоившие новомодную фигню, но хорошо научившиеся вешать клиенту лапшу. Еще немного, и придется, и правда, сваливать на Линух...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
