Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | | |
Ну конечно! :)) 16.08.09 22:52 Число просмотров: 2466
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 17.08.09 00:41 Количество правок: 1
|
> > "Просто и дешево" ? Хорошая шутка!!! :) > > Давай-ка посчитаем, сколько нужно времени и знаний, > чтобы > > поставить и сконфигурировать на FreeBSD хотябы > следующие > > службы: AD, DNS(AD itegrated), SMB > > При наличии знаний - одинаково. Без наличия знаний - нех. > лезть.
Ну конечно! :))
Ты на вскидку даже не вспомнишь как называется дистрибутив подобия AD для *nix систем - в инете будешь лопатить. Не говоря уже о порядке установки, опциях конфигурирования ldap.conf, необходимости установки и настройки reference дистрибутивов.
Про отсутствие AD integrated в никсовом DNS и особенностях SMB рассказывать бессмысленно. Грамотное конфигурирование всего этого требует огромных временных затрат, если конфигурить руками с нуля без скриптов и темплейтов.
Все еще "одинаково"?
> > по сравнению с тем же набором в Windows Server 2008? Я > уж > > не говорю про сервер обновлений, распространение > политик > > безопасности, конфигурирование X'ов и пр... > > И как ты думаешь, где эти службы будут стабильнее > работать? > > А зачем им, вообще работать? Обновления ламеры должны > получать из рук админа.
Обновления должны ставиться централизованно и желательно автоматически с сервера обновления. На долю пользователя админ может оставить выбор - установить обновления сейчас или при выключении.
> За файрволом в корпоративной сети все "политики" > дожны рулиться Каталистами С ВЛанами, > маршрутизацией и фильтрацией между подсетками.
Ты очень узко понимаешь определение "политика" - забываешь про политики безопасности и доступа к ресурсам локальной сети: (почтовые, файловые, БД службы, службы удаленного доступа), политики паролей, аудита, настройки и разрешения/запреты запуска программ и служб на рабочих станциях и т.д.
> Если же фирма девелоперская, то там все "сами с усами", > а всякие среды разработки, типа Симатика, например, > вынуждают городить внутри группы такие политики, > которые не совместимы ни с чем и ни с кем (тока-что > этой дряни накушался до бровей). Так, что вся эта > централизация ничего, кроме гимороя не даст.
Смысл политик как раз в централизованном автоматическом распространении на узлы локальной сети, в противном случае, теряется сам смысл поняти "политика". Проблемы несовместимости ПО, мало коррелируются с "политикой".
> > Странное понимаение безопасности. > > Ты понятия не имеешь о том, что безопасность всей > локальной > > сети определяется не безопасностью перимерта, а > > безопасностью самого слабого узла сети. > > Самый слабый узел сети - мозги идиота, а их - не запатчишь. > Так, что, либо периметр и кусачие админы, либо - привязка > юзверя к порту свича и фильтрация. Естессно, всякий прямой > обмен между станциями должен быт запрещен - только общий > файл-сервер и все результаты работы - только на нем.
Никакой периметр не спасет от атаки изнутри, или подсадки через инет обозреватель вредоносного кода. А про "мозги идиота" в стандартах ISO нет ни слова. :))
Сколько стоит управляемый коммутратор, ограничивающий обмен между портами, против неуправляемого? Бюджетное решение?
> > > Я еще ни разу не встречал юзверя, сидящего > > > в открытом Интернете, на компе которого не > > > паслось бы целое стадо вирей и адварей. > > > > Зато я встречал. Сам таким пользователям софт > настраивал. И > > если эти пользователи следовали моим рекомендациям, то > > проблем с вирусами не возникало. > > Знаешь, это уже не юзверь, если он рекомендациям следует и, > главное, знает, как им следовать.
А кто? Системный администратор?
Задача пользователя, работающего в организации, соблюдать корпоративные политики, в т.ч. и политику информационной безопасности компании. т.е. следовать рекомендациям отдела ИТ. Не вижу большой разницы между домашним и корпоративным пользователем, тем более, что при современном развитии технологий граница "корпоративный-домашний" размывается все больше и больше.
Ты в тайге совсем одичал. ;)
> > > Безопасность тождественна профессионализму. > > > И - только. > > > > Конечно! И в первую очередь тождественна > профессионализму > > разработчиков. > > Только потребителя. Иначе, ограничения, встроенные в > систему будут противоречить Правам Человека. Вообще, дожен > быть принцип: Каждое юридическое/физическое лицо в сети > само и только само ответственно за свою безопасность. > Всякая централизованная безопасность либо - невозможна, > либо - насильственна. В фирме насильственная безопасность > правомерна, а дома - и не допустима и не возможна.
Не будут, полюбому!
Если ты покупаешь и используешь продукт, ты соглашаешься со всеми правилами и органичениями на данный продукт, а также на все его особенности и умолчания в т.ч. И не надо тут "ля-ля" про права человека и все такое... Совершенно не уместно.
> Как максимум - сети с ответственной инфой, вообще, в Инет > не пускать. А для работы и чтобы себе всякие "дырочки" в > Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так > модемы из дома не тащит и друзьям там Инет не раздает тока > ленивый и совсем тупой), Ставить отдельные компы в Сети: > скачал, записал на флешку, предъявил админу.
На ЖД, как и во многих гос.корпорациях, нормальные корпоративные политики либо отсутствуют, либо принципиально не исполняются никем, как раз по причине кумовства. Для нормальных организаций корпоративные политики запрещают отношения "начальник-подчиненный" для родственников.
> > > Прокся на Юниксе, КэшЭнджайн, Пикс. > > > Для хранения данных - Сторадж, типа > > > Симметрикса, на крайняк - встраиваемый РЭИД, при > > условии, > > > естессно, что система с прогами и данные - на > разных > > > дисках. > > > > Ага! А еще загрузка рабочих станций по сети для > "экономии > > средств на ЖД", оптика по всему офису с коммутатором > > Cisco... Так?! > > Если нужна скорость и безопасность, то только так. Кстати, > Симметрикс, для которого я некогда писал компаненты > оптимизатора трафика и размещения данных, на полном серьезе > доказывает, что централизованный сторадж с бездисковыми > станциями экономически эффективнее.
Можешь представить расчет экономической целесообразности и сроках окупаемости (с учетом стоимости эксплуатации) данного решения для 10, 20, 30 рабочих станций в локальной сети? Сильно сомневаюсь...
> > Посчитай конечную стоимость и доступность этого > решения для > > сегмента малого и среднего бизнеса. > > Нашему малому бизнесу никакая безопасностьне доступна ни - > по уму, ни - по деньгам
С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?
> > Ошибаешься! По статистике, б`ольшая часть взломов, > > следствие ошибочного выбора набора ПО и использования > > непропатченного ПО. > > А что это, если не глупость и неаккуратность?!
Согласен! Глупо и неаккуратно использовать нелицензионное ПО и таким образом ограничивать его безопасность.
|
<site updates>
|
Локальное повышение привилегий в ядрах всех Линуксов 14.08.09 02:08
Publisher: dl <Dmitry Leonov>
|
Локальное повышение привилегий в ядрах всех Линуксов cr0 blog http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html
Если точнее, затрагивает все ядра 2.4 и 2.6, восходя аж к 2001 году. Связано с тем, что ряд функций ядра, наподобие sock_sendpage, не занимается проверкой полученного указателя на NULL, полагаясь на то, что соответствующие указатели будут корректно проинициализированы в обертках - таких как sock_no_sendpage. Однако в случае с sock_sendpage ошибка в макросе SOCKOPS_WRAP все же может привести к передаче в функцию нулевого указателя. Что и приводит к возможности внедрения кода, выполняющегося с правами ядра - достаточно положить его в нулевую страницу памяти. Патч уже доступен.
Замечу, что сама возможность подобного лихого обращения с нулевыми указателями в современной ОС вызывает некоторое недоумение - к примеру, в архитектуре Win32/64 подобные плюхи принципиально невозможны по причине блокировки любого доступа к адресам с 0x0 по 0xFFFF (0xFFF в случае Win'9x).
Полный текст
|
|
В linux это тоже невозможно. 14.08.09 17:19
Автор: aLEXt <Alex Trusty> Статус: Member
|
|
| |
Если факты противоречат религиозным убеждениям, то ну их нафиг эти факты 14.08.09 20:41
Автор: amirul <Serge> Статус: The Elderman
|
goto securityfocus, secunia, etc.
Поиск по линуксу выдает практически ровно в 10 раз больше всяческих предупреждений безопасности, чем по винде.
|
| |
но ведь тут каким-то образом проявилось 14.08.09 17:50
Автор: dl <Dmitry Leonov>
|
Причем не просто с вылетом, как это было бы при запрете доступа, а именно с escalation. Опять же и патч Линус зачем-то выпустил.
|
|
Решето! Винда и то в таких местах продуманей. 14.08.09 12:20
Автор: Статус: Незарегистрированный пользователь
|
|
| |
Да, но там этих мест больше. 15.08.09 07:42
Автор: Zef <Alloo Zef> Статус: Elderman
|
В плане обеспечения безопасности сначала - снижение количества сущностей, а уж потом - обеспечение надежности оставшихся. Дверь, которой нет - не взломают, и в замурованное окно - не залезут.
|
| | |
Надо же. Ты еще и в линупсе искперт. 15.08.09 07:59
Автор: amirul <Serge> Статус: The Elderman
|
> В плане обеспечения безопасности сначала - снижение > количества сущностей, а уж потом - обеспечение надежности > оставшихся. Дверь, которой нет - не взломают, и в > замурованное окно - не залезут. И еще в методологии разработки ПО. Ты мой кумир
|
| | | |
Я эксперт по маразму. 15.08.09 10:40
Автор: Zef <Alloo Zef> Статус: Elderman
|
Для того, чтобы лечить от маразма музыканта или летчика не надо быть экспертом ни в музыке ни в авиации. Достаточно быть экспертом по маразму.
Неужели вы не видите, что мы создали цивилизацию с надежностью карточного домика? Переизбыток сущностей и взаимосвязей между ними сделал отказоустойчивость практически нулевой, а диагностику причин отказа - практически не возможной. Какая разница - Линух или Мастдай, причина ненадежности одна. Линух лучше тем, что у него ГУЙ и прочие прибамбасы не интегрированы в ядро и могут быть откручены (Тока, кто же их откручивает-то!), а хуже - неудобством настройки для неграмотного юзверя. Почему я и предпочитаю безгуёвый Юникс в качестве серверной платформы, что он проще всего. Кстати, вот и банки, то же, Солярочку предпочитают. К чему бы это?
Избыточный Мастдай был бы вполне допустим в качестве чисто-пользовательской рабочей станции, если бы его разработчики не заморачивались вопросами безопасности, а только устойчивости системы, а всю безопасность делегировали специализированным внешним устройствам и системам. Но попытка скрестить ужа с ежом приводит к тому, что юзверь просто путается во всех "безопасных" наворотах и делает еще хуже себе и другим. Впрочем, и Пингвины страдают тем же...
|
| | | | |
Купи Windows Server Core и получай удовольствие от... 15.08.09 12:45
Автор: Den <Денис Т.> Статус: The Elderman
|
> Для того, чтобы лечить от маразма музыканта или летчика не > надо быть экспертом ни в музыке ни в авиации. Достаточно > быть экспертом по маразму. > > Неужели вы не видите, что мы создали цивилизацию с > надежностью карточного домика? Переизбыток сущностей и > взаимосвязей между ними сделал отказоустойчивость > практически нулевой, а диагностику причин отказа - > практически не возможной. Какая разница - Линух или > Мастдай, причина ненадежности одна. Линух лучше тем, что у > него ГУЙ и прочие прибамбасы не интегрированы в ядро и > могут быть откручены (Тока, кто же их откручивает-то!), а > хуже - неудобством настройки для неграмотного юзверя.
Купи Windows Server Core и получай удовольствие от отсутствия ГУЯ! :))
Если сможешь...
> Почему я и предпочитаю безгуёвый Юникс в качестве серверной > платформы, что он проще всего. Кстати, вот и банки, то же, > Солярочку предпочитают. К чему бы это?
Что ты понимаешь под словом "проще"? Проще для пользователя, который должен хотябы знать о существовании команды man? :))
Ты не перестаешь меня удивлять.
> Избыточный Мастдай был бы вполне допустим в качестве > чисто-пользовательской рабочей станции, если бы его > разработчики не заморачивались вопросами безопасности, а > только устойчивости системы, а всю безопасность > делегировали специализированным внешним устройствам и > системам.
Как же ты себе это представляешь?
> Но попытка скрестить ужа с ежом приводит к тому, > что юзверь просто путается во всех "безопасных" наворотах и > делает еще хуже себе и другим. Впрочем, и Пингвины страдают > тем же...
Например?
|
| | | | | |
Действительно, зачем просто и дешево, если можно дорого и... 15.08.09 13:41
Автор: Zef <Alloo Zef> Статус: Elderman
|
> Купи Windows Server Core и получай удовольствие от > отсутствия ГУЯ! :)) > Если сможешь...
Действительно, зачем просто и дешево, если можно дорого и сложно? Для этого, вообще-то есть совершенно бесплатная ФРЯ.
> Что ты понимаешь под словом "проще"? Проще для > пользователя, который должен хотябы знать о существовании > команды man? :))
Пользователь и безопасность - вещи не совместимые. Безопасным может только недопущение пользователя в открытую сеть и защита его от этой самой сети профессионалом. Я еще ни разу не встречал юзверя, сидящего в открытом Интернете, на компе которого не паслось бы целое стадо вирей и адварей. Безопасность тождественна профессионализму. И - только.
> > только устойчивости системы, а всю безопасность > > делегировали специализированным внешним устройствам и > > системам.
Я уже сказал, как: как минимум, Циска в качестве файрвола, настроенная спецом, естесственно. Прокся на Юниксе, Кэш Энджайн, Пикс. Для хранения данных - Сторадж, типа Симметрикса, на крайняк - встраиваемый РЭИД, при условии, естессно, что система с прогами и данные - на разных дисках.
> Пингвины > страдают > > тем же... > > Например?
Чего например? Вся Сеть знает, что 90% взломов - следствие кривых рук админа. Но тут, как я уже сказал, ест только 2 средства защиты - знания и аккуратность. Остальное - утопия и развод.
|
| | | | | | |
"Просто и дешево" ? Хорошая шутка!!! :) [upd] 16.08.09 16:48
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 16.08.09 17:02 Количество правок: 2
|
> Действительно, зачем просто и дешево, если можно дорого и > сложно? Для этого, вообще-то есть совершенно бесплатная > ФРЯ.
"Просто и дешево" ? Хорошая шутка!!! :)
Давай-ка посчитаем, сколько нужно времени и знаний, чтобы поставить и сконфигурировать на FreeBSD хотябы следующие службы: AD, DNS(AD itegrated), SMB
по сравнению с тем же набором в Windows Server 2008? Я уж не говорю про сервер обновлений, распространение политик безопасности, конфигурирование X'ов и пр...
И как ты думаешь, где эти службы будут стабильнее работать?
> > Что ты понимаешь под словом "проще"? Проще для > > пользователя, который должен хотябы знать о > существовании > > команды man? :)) > > Пользователь и безопасность - вещи не совместимые. > Безопасным может только недопущение пользователя в открытую > сеть и защита его от этой самой сети профессионалом.
Странное понимаение безопасности.
Ты понятия не имеешь о том, что безопасность всей локальной сети определяется не безопасностью перимерта, а безопасностью самого слабого узла сети.
> Я еще ни разу не встречал юзверя, сидящего > в открытом Интернете, на компе которого не > паслось бы целое стадо вирей и адварей.
Зато я встречал. Сам таким пользователям софт настраивал. И если эти пользователи следовали моим рекомендациям, то проблем с вирусами не возникало.
> Безопасность тождественна профессионализму. > И - только.
Конечно! И в первую очередь тождественна профессионализму разработчиков.
> Я уже сказал, как: как минимум, Циска в качестве файрвола, > настроенная спецом, естесственно.
А как максимум? :)
> Прокся на Юниксе, КэшЭнджайн, Пикс. > Для хранения данных - Сторадж, типа > Симметрикса, на крайняк - встраиваемый РЭИД, при условии, > естессно, что система с прогами и данные - на разных > дисках.
Ага! А еще загрузка рабочих станций по сети для "экономии средств на ЖД", оптика по всему офису с коммутатором Cisco... Так?!
Посчитай конечную стоимость и доступность этого решения для сегмента малого и среднего бизнеса.
> > Пингвины > > страдают > > > тем же... > > > > Например? > > Чего например? Вся Сеть знает, что 90% взломов - следствие > кривых рук админа. Но тут, как я уже сказал, ест только 2 > средства защиты - знания и аккуратность. Остальное - утопия > и развод.
Ошибаешься! По статистике, б`ольшая часть взломов, следствие ошибочного выбора набора ПО и использования непропатченного ПО.
|
| | | | | | | |
При наличии знаний - одинаково. Без наличия знаний - нех... 16.08.09 19:19
Автор: Zef <Alloo Zef> Статус: Elderman
|
> "Просто и дешево" ? Хорошая шутка!!! :) > Давай-ка посчитаем, сколько нужно времени и знаний, чтобы > поставить и сконфигурировать на FreeBSD хотябы следующие > службы: AD, DNS(AD itegrated), SMB
При наличии знаний - одинаково. Без наличия знаний - нех. лезть.
> по сравнению с тем же набором в Windows Server 2008? Я уж > не говорю про сервер обновлений, распространение политик > безопасности, конфигурирование X'ов и пр... > И как ты думаешь, где эти службы будут стабильнее работать?
А зачем им, вообще работать? Обновления ламеры должны получать из рук админа. За файрволом в корпоративной сети все "политики" дожны рулиться Каталистами С ВЛанами, маршрутизацией и фильтрацией между подсетками. Если же фирма девелоперская, то там все "сами с усами", а всякие среды разработки, типа Симатика, например, вынуждают городить внутри группы такие политики, которые не совместимы ни с чем и ни с кем (тока-что этой дряни накушался до бровей). Так, что вся эта централизация ничего, кроме гимороя не даст.
> Странное понимаение безопасности. > Ты понятия не имеешь о том, что безопасность всей локальной > сети определяется не безопасностью перимерта, а > безопасностью самого слабого узла сети.
Самый слабый узел сети - мозги идиота, а их - не запатчишь. Так, что, либо периметр и кусачие админы, либо - привязка юзверя к порту свича и фильтрация. Естессно, всякий прямой обмен между станциями должен быт запрещен - только общий файл-сервер и все результаты работы - только на нем.
> > > Я еще ни разу не встречал юзверя, сидящего > > в открытом Интернете, на компе которого не > > паслось бы целое стадо вирей и адварей. > > Зато я встречал. Сам таким пользователям софт настраивал. И > если эти пользователи следовали моим рекомендациям, то > проблем с вирусами не возникало.
Знаешь, это уже не юзверь, если он рекомендациям следует и, главное, знает, как им следовать.
> > Безопасность тождественна профессионализму. > > И - только. > > Конечно! И в первую очередь тождественна профессионализму > разработчиков.
Только потребителя. Иначе, ограничения, встроенные в систему будут противоречить Правам Человека. Вообще, дожен быть принцип: Каждое юридическое/физическое лицо в сети само и только само ответственно за свою безопасность. Всякая централизованная безопасность либо - невозможна, либо - насильственна. В фирме насильственная безопасность правомерна, а дома - и не допустима и не возможна.
> > > Я уже сказал, как: как минимум, Циска в качестве > файрвола, > > настроенная спецом, естесственно. > > А как максимум? :)
Как максимум - сети с ответственной инфой, вообще, в Инет не пускать. А для работы и чтобы себе всякие "дырочки" в Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так модемы из дома не тащит и друзьям там Инет не раздает тока ленивый и совсем тупой), Ставить отдельные компы в Сети: скачал, записал на флешку, предъявил админу.
> > > Прокся на Юниксе, КэшЭнджайн, Пикс. > > Для хранения данных - Сторадж, типа > > Симметрикса, на крайняк - встраиваемый РЭИД, при > условии, > > естессно, что система с прогами и данные - на разных > > дисках. > > Ага! А еще загрузка рабочих станций по сети для "экономии > средств на ЖД", оптика по всему офису с коммутатором > Cisco... Так?!
Если нужна скорость и безопасность, то только так. Кстати, Симметрикс, для которого я некогда писал компаненты оптимизатора трафика и размещения данных, на полном серьезе доказывает, что централизованный сторадж с бездисковыми станциями экономически эффективнее.
> Посчитай конечную стоимость и доступность этого решения для > сегмента малого и среднего бизнеса.
Нашему малому бизнесу никакая безопасностьне доступна ни - по уму, ни - по деньгам
> Ошибаешься! По статистике, б`ольшая часть взломов, > следствие ошибочного выбора набора ПО и использования > непропатченного ПО.
А что это, если не глупость и неаккуратность?!
|
| | | | | | | | |
Ну конечно! :)) 16.08.09 22:52
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 17.08.09 00:41 Количество правок: 1
|
> > "Просто и дешево" ? Хорошая шутка!!! :) > > Давай-ка посчитаем, сколько нужно времени и знаний, > чтобы > > поставить и сконфигурировать на FreeBSD хотябы > следующие > > службы: AD, DNS(AD itegrated), SMB > > При наличии знаний - одинаково. Без наличия знаний - нех. > лезть.
Ну конечно! :))
Ты на вскидку даже не вспомнишь как называется дистрибутив подобия AD для *nix систем - в инете будешь лопатить. Не говоря уже о порядке установки, опциях конфигурирования ldap.conf, необходимости установки и настройки reference дистрибутивов.
Про отсутствие AD integrated в никсовом DNS и особенностях SMB рассказывать бессмысленно. Грамотное конфигурирование всего этого требует огромных временных затрат, если конфигурить руками с нуля без скриптов и темплейтов.
Все еще "одинаково"?
> > по сравнению с тем же набором в Windows Server 2008? Я > уж > > не говорю про сервер обновлений, распространение > политик > > безопасности, конфигурирование X'ов и пр... > > И как ты думаешь, где эти службы будут стабильнее > работать? > > А зачем им, вообще работать? Обновления ламеры должны > получать из рук админа.
Обновления должны ставиться централизованно и желательно автоматически с сервера обновления. На долю пользователя админ может оставить выбор - установить обновления сейчас или при выключении.
> За файрволом в корпоративной сети все "политики" > дожны рулиться Каталистами С ВЛанами, > маршрутизацией и фильтрацией между подсетками.
Ты очень узко понимаешь определение "политика" - забываешь про политики безопасности и доступа к ресурсам локальной сети: (почтовые, файловые, БД службы, службы удаленного доступа), политики паролей, аудита, настройки и разрешения/запреты запуска программ и служб на рабочих станциях и т.д.
> Если же фирма девелоперская, то там все "сами с усами", > а всякие среды разработки, типа Симатика, например, > вынуждают городить внутри группы такие политики, > которые не совместимы ни с чем и ни с кем (тока-что > этой дряни накушался до бровей). Так, что вся эта > централизация ничего, кроме гимороя не даст.
Смысл политик как раз в централизованном автоматическом распространении на узлы локальной сети, в противном случае, теряется сам смысл поняти "политика". Проблемы несовместимости ПО, мало коррелируются с "политикой".
> > Странное понимаение безопасности. > > Ты понятия не имеешь о том, что безопасность всей > локальной > > сети определяется не безопасностью перимерта, а > > безопасностью самого слабого узла сети. > > Самый слабый узел сети - мозги идиота, а их - не запатчишь. > Так, что, либо периметр и кусачие админы, либо - привязка > юзверя к порту свича и фильтрация. Естессно, всякий прямой > обмен между станциями должен быт запрещен - только общий > файл-сервер и все результаты работы - только на нем.
Никакой периметр не спасет от атаки изнутри, или подсадки через инет обозреватель вредоносного кода. А про "мозги идиота" в стандартах ISO нет ни слова. :))
Сколько стоит управляемый коммутратор, ограничивающий обмен между портами, против неуправляемого? Бюджетное решение?
> > > Я еще ни разу не встречал юзверя, сидящего > > > в открытом Интернете, на компе которого не > > > паслось бы целое стадо вирей и адварей. > > > > Зато я встречал. Сам таким пользователям софт > настраивал. И > > если эти пользователи следовали моим рекомендациям, то > > проблем с вирусами не возникало. > > Знаешь, это уже не юзверь, если он рекомендациям следует и, > главное, знает, как им следовать.
А кто? Системный администратор?
Задача пользователя, работающего в организации, соблюдать корпоративные политики, в т.ч. и политику информационной безопасности компании. т.е. следовать рекомендациям отдела ИТ. Не вижу большой разницы между домашним и корпоративным пользователем, тем более, что при современном развитии технологий граница "корпоративный-домашний" размывается все больше и больше.
Ты в тайге совсем одичал. ;)
> > > Безопасность тождественна профессионализму. > > > И - только. > > > > Конечно! И в первую очередь тождественна > профессионализму > > разработчиков. > > Только потребителя. Иначе, ограничения, встроенные в > систему будут противоречить Правам Человека. Вообще, дожен > быть принцип: Каждое юридическое/физическое лицо в сети > само и только само ответственно за свою безопасность. > Всякая централизованная безопасность либо - невозможна, > либо - насильственна. В фирме насильственная безопасность > правомерна, а дома - и не допустима и не возможна.
Не будут, полюбому!
Если ты покупаешь и используешь продукт, ты соглашаешься со всеми правилами и органичениями на данный продукт, а также на все его особенности и умолчания в т.ч. И не надо тут "ля-ля" про права человека и все такое... Совершенно не уместно.
> Как максимум - сети с ответственной инфой, вообще, в Инет > не пускать. А для работы и чтобы себе всякие "дырочки" в > Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так > модемы из дома не тащит и друзьям там Инет не раздает тока > ленивый и совсем тупой), Ставить отдельные компы в Сети: > скачал, записал на флешку, предъявил админу.
На ЖД, как и во многих гос.корпорациях, нормальные корпоративные политики либо отсутствуют, либо принципиально не исполняются никем, как раз по причине кумовства. Для нормальных организаций корпоративные политики запрещают отношения "начальник-подчиненный" для родственников.
> > > Прокся на Юниксе, КэшЭнджайн, Пикс. > > > Для хранения данных - Сторадж, типа > > > Симметрикса, на крайняк - встраиваемый РЭИД, при > > условии, > > > естессно, что система с прогами и данные - на > разных > > > дисках. > > > > Ага! А еще загрузка рабочих станций по сети для > "экономии > > средств на ЖД", оптика по всему офису с коммутатором > > Cisco... Так?! > > Если нужна скорость и безопасность, то только так. Кстати, > Симметрикс, для которого я некогда писал компаненты > оптимизатора трафика и размещения данных, на полном серьезе > доказывает, что централизованный сторадж с бездисковыми > станциями экономически эффективнее.
Можешь представить расчет экономической целесообразности и сроках окупаемости (с учетом стоимости эксплуатации) данного решения для 10, 20, 30 рабочих станций в локальной сети? Сильно сомневаюсь...
> > Посчитай конечную стоимость и доступность этого > решения для > > сегмента малого и среднего бизнеса. > > Нашему малому бизнесу никакая безопасностьне доступна ни - > по уму, ни - по деньгам
С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?
> > Ошибаешься! По статистике, б`ольшая часть взломов, > > следствие ошибочного выбора набора ПО и использования > > непропатченного ПО. > > А что это, если не глупость и неаккуратность?!
Согласен! Глупо и неаккуратно использовать нелицензионное ПО и таким образом ограничивать его безопасность.
|
| | | | | | | | | |
Так я уже 5й год - не админ. А когда админю - написал... 17.08.09 05:35
Автор: Zef <Alloo Zef> Статус: Elderman
|
> Ну конечно! :)) > Ты на вскидку даже не вспомнишь как называется дистрибутив > подобия AD для *nix систем - в инете будешь лопатить.
Так я уже 5й год - не админ. А когда админю - написал типовую схему, а от нее - тока конкретные вариации. В древности люди БЭСМ на АСМе кодили и - ничего, быстро: понаписали готовых процедур на все случаи жизни и из них лепили.
> > А зачем им, вообще работать?
Вот именно, работать, а не фигней страдать. Чего ему обновлять, если кроме 1Ски ему на рабочем месте ничего не положено? Разнообразный софт юзают тока кодеры или НИИ, но там безопасность либо такая:
> > За файрволом в корпоративной сети все "политики" > > дожны рулиться Каталистами С ВЛанами, > > маршрутизацией и фильтрацией между подсетками. Либо - никакая.
> Ты очень узко понимаешь определение "политика" - забываешь > про политики безопасности и доступа к ресурсам локальной > сети: (почтовые, файловые, БД службы, службы удаленного > доступа),
Это все решается на конкретных серверах. Например, группы формируются, как ВЛаны, обмен между ними - через файл-сервер.
политики паролей, аудита, настройки и
> разрешения/запреты запуска программ и служб на рабочих > станциях и т.д.
Ненужных програм на рабочих станциях быть не должно, средств занести их туда - то же.
> > > Если же фирма девелоперская, то там все "сами с > усами", > > а всякие среды разработки, типа Симатика, например, > > вынуждают городить внутри группы такие политики, > > которые не совместимы ни с чем и ни с кем (тока-что > > этой дряни накушался до бровей). Так, что вся эта > > централизация ничего, кроме гимороя не даст. > > Смысл политик как раз в централизованном автоматическом > распространении на узлы локальной сети, в противном случае, > теряется сам смысл поняти "политика". Проблемы > несовместимости ПО, мало коррелируются с "политикой".
Так я и говорю, что поскоку фирмовый софт противоречит друг-другу, это не получится!
> Никакой периметр не спасет от атаки изнутри, или подсадки > через инет обозреватель вредоносного кода.
Это - чисто админстративная проблема. Досмотр, пломбирование портов и драйвов, штрафы, увольнение, суд.
> Сколько стоит управляемый коммутратор, ограничивающий обмен > между портами, против неуправляемого? Бюджетное решение?
Есть чего скрывать - найдутся и деньги на это. Нет денег - значит инфа не стоит безопасности. Если директор хочет сэкономить на этом, вариант один - самому стать спецом по безопасности и держать все на своем компе.
> А кто? Системный администратор?
Какая разница, как называется зверь, главное - редкий.
> Не вижу большой разницы между домашним и корпоративным > пользователем, тем более, что при современном развитии > технологий граница "корпоративный-домашний" размывается все > больше и больше.
Домашнему пользователю нельза говорить "низзя", корпоративному - нужно.
> Ты в тайге совсем одичал. ;)
Тут осознание безопасности очень четкое: сам не позаботился - живым не вернулся. А детей одних в лес не пускают.
> На ЖД, как и во многих гос.корпорациях, нормальные > корпоративные политики либо отсутствуют, либо принципиально > не исполняются никем, как раз по причине кумовства. Для > нормальных организаций корпоративные политики запрещают > отношения "начальник-подчиненный" для родственников.
И где-ж это такие "нормальные" есть? И эффективны ли они?
> Можешь представить расчет экономической целесообразности и > сроках окупаемости (с учетом стоимости эксплуатации) > данного решения для 10, 20, 30 рабочих станций в локальной > сети? Сильно сомневаюсь...
А заплатить мне за это $1000, этак, можешь? Базар-базаром, а работа - тока за деньги.
> С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?
Я знаком с хозяевами. Ни один хозяин не согласится с ограничениями, налагаемыми посторонним лицом: "Как же так, я порнуху качать не буду?".
> Глупо и неаккуратно использовать нелицензионное > ПО и таким образом ограничивать его безопасность.
Да? А кто мне докажет, что в сем ПО нет закладок? ФСБ? И попутно еще пару туда засунет? Нет, ради моей безопасности - тока опенсорс!
|
| | | | | | |
Просто и дешево, лол 16.08.09 07:49
Автор: amirul <Serge> Статус: The Elderman
|
> Действительно, зачем просто и дешево, если можно дорого и > сложно? Для этого, вообще-то есть совершенно бесплатная > ФРЯ. Фря кстати, чуть получше линупса (хотя тяжелое позиксовое наследие дает о себе знать), но все равно "Линукс бесплатен только для тех, чье время бесплатно". До некоторой степени это относится и к фре
> Пользователь и безопасность - вещи не совместимые. > Безопасным может только недопущение пользователя в открытую > сеть и защита его от этой самой сети профессионалом. Я еще > ни разу не встречал юзверя, сидящего в открытом Интернете, > на компе которого не паслось бы целое стадо вирей и > адварей. Безопасность тождественна профессионализму. И - > только. Я встречал. В подавляющем большинстве случаев достаточно регулярных апдейтов (то есть дефолтные настройки). Если еще и антивирус стоит да файрвол включен, да UAC...
|
| | | | |
Ну разве что иксперт. Потому как на эксперта не тянешь вообще. Ни в одном вопросе, который я "имел счастье" с тобой обсуждать 15.08.09 10:48
Автор: amirul <Serge> Статус: The Elderman Отредактировано 15.08.09 13:12 Количество правок: 1
|
"Пацаны во дворе сказали, дриста - говно, @$а". И если школьники, которые несут неаргументированную чушь еще могут повзрослеть, то для тебя уже все слишком поздно.
|
| | | | | |
Причем здесь пацаны? 15.08.09 14:08
Автор: Zef <Alloo Zef> Статус: Elderman
|
Если уж у меня нет потребности переходить на Дристу, я, даже, вообразить не могу, зачем мне это может понадобиться, то у ламеров - и подавно. Ну, ладно - ХР, вроде бы, чуточку постабильней, чем 2к, зато в штатном "ламерском" варианте это сплошное тормозило. Кто не знает, как отключить восстановление системы, тот удавится нах. Ну что не грамотному юзверю может дать Дриста, кроме гимороя с освоением новой системы? Другую цветовую гамму на столе и менюхи не там, где он привык?
Ты пойми - всякое потребление идет от потребности! А все потребности и ХР удовлетворяет полностью.
А повод для злости уменя, между прочим, чисто шкурный: Дриста, Нет и Шарп сделали меня безработным. Теперь мне надо потратить уйму времени и средств не изучение глубоко мне омерзительных и, при этом, абсолютно бесполезных вещей, хотя я вполне в состоянии удовлетворить все мыслимые запросы любого заказчика на обычном С++, но он, видите ли, "вышел из моды"!
|
| | | | | | |
Подожди, ты ж не знаешь ни той ни другой. У тебя есть два... 16.08.09 04:00
Автор: amirul <Serge> Статус: The Elderman
|
> Если уж у меня нет потребности переходить на Дристу, я, > даже, вообразить не могу, зачем мне это может понадобиться, Подожди, ты ж не знаешь ни той ни другой. У тебя есть два варианта:
1. Положиться на мнение более грамотных товарищей и поставить таки новую ВЕРСИЮ той же ОС.
2. Оставаться на чем угодно - хоть на линупсе - но воздержаться от оценочных суждений по вопросам, в которых ты не разбираешься.
> то у ламеров - и подавно. Ну, ладно - ХР, вроде бы, чуточку > постабильней, чем 2к, зато в штатном "ламерском" варианте > это сплошное тормозило. 2к в штатном "ламерском" варианте просто не запускало две трети игрушек. XP была МЕДЛЕННЕЕ тукея (тукей медленнее 98-й, а 98-я медленее DOS-а) но при этом нормально запускала все игрушки, и была нормально
> Кто не знает, как отключить восстановление системы, тот удавится нах. О, "твики" пошли. Ну расскажи зачем же отключать восстановление системы :-)
> Ну что неграмотному юзверю может дать Дриста, кроме гимороя с > освоением новой системы? Другую цветовую гамму на столе и > менюхи не там, где он привык? UAC/UIPI? Новый NDIS с WFP (процентов 80 виденных мной багчеков на юзерских машинах были вызваны упавшим файрволом или антивирусом)? UMDF (остальные 20 - упавшим видеодрайвером)? KTM (напрямую пользователь от этого выиграть не может, но к примеру можно начать инсталляцию в транзакции и в случае ошибки начисто откатить все изменения)? И еще десятки других фич, от которых пользователь получает профит либо напрямую, либо косвенно - через обеспечение более удобных интерфейсов для программистов, которые пишут под эту платформу и соответственно дают на выходе более качественный код.
Но раз пацаны тебе говорят говно, значит говно - хули
> Ты пойми - всякое потребление идет от потребности! А все > потребности и ХР удовлетворяет полностью. Да я знаю, что для тебя любые технологии моложе 15 лет - происки сатаны. Переубеждать тебя я не хочу, но был бы весьма признателен, если бы ты держал свое профанское мнение при себе.
> А повод для злости уменя, между прочим, чисто шкурный: > Дриста, Нет и Шарп сделали меня безработным. Теперь мне > надо потратить уйму времени и средств не изучение глубоко А почему они не сделали безработным меня? Может попробуешь поискать причину еще раз?
> мне омерзительных и, при этом, абсолютно бесполезных вещей, > хотя я вполне в состоянии удовлетворить все мыслимые > запросы любого заказчика на обычном С++, но он, видите ли, > "вышел из моды"! Из моды, говоришь? http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
На плюсах можно писать хорошо, но для этого таки надо уметь это делать.
Восторгов по поводу .net я не разделяю, но настроен по поводу него гораздо менее скептически, чем несколько лет назад. Я бы с удовольствием писал на чем нибудь типа схемы, и оптимизировал боттлнеки вручную на C++/C/asm. Если бы этой самой схемы была такой же полноты class library и такой же уровень внедрения как у шарпа. Шарп же мне особо не дает преимуществ перед плюсами, но при этом таки тормозит (что бы там ни утверждали евангелисты). Только поэтому я на нем и не пишу, а не по каким то религиозным мотивам.
|
| | | | | | |
Спец должен быть грамотным, и тогда его никто не будет нагибать -- вон, Amirul сидит на Ц/Цпп под вендой, и никто его на шарп пересаживать не собираиццо ;) 15.08.09 16:11
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
| | | | | | | |
Я его компетентность не оспариваю 15.08.09 18:22
Автор: Zef <Alloo Zef> Статус: Elderman
|
Тока, у него немного больше возможностей для выбора.
А, кроме того, возможности для выбора в результате появления всяких новых ненужностей, все равно, сильно сократились. Потребитель туп, он требует не того, что нужно и достаточно, а того, что модно. И хрен ему что докажешь - кто платит, тот и заказывает музыку. Всеми этими "новомодностями" самим же себе дорогу перекрываем. Вместо опытных и квалифицированных кодеров вперед пролазят молокососы, едва освоившие новомодную фигню, но хорошо научившиеся вешать клиенту лапшу. Еще немного, и придется, и правда, сваливать на Линух...
|
|
|