информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsСетевые кракеры и правда о деле ЛевинаПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2009 / август
2009
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость





Локальное повышение привилегий в ядрах всех Линуксов
dl // 14.08.09 02:08
Если точнее, затрагивает все ядра 2.4 и 2.6, восходя аж к 2001 году.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/08/04.html]
Связано с тем, что ряд функций ядра, наподобие sock_sendpage, не занимается проверкой полученного указателя на NULL, полагаясь на то, что соответствующие указатели будут корректно проинициализированы в обертках - таких как sock_no_sendpage. Однако в случае с sock_sendpage ошибка в макросе SOCKOPS_WRAP все же может привести к передаче в функцию нулевого указателя. Что и приводит к возможности внедрения кода, выполняющегося с правами ядра - достаточно положить его в нулевую страницу памяти. Патч уже доступен.

Замечу, что сама возможность подобного лихого обращения с нулевыми указателями в современной ОС вызывает некоторое недоумение - к примеру, в архитектуре Win32/64 подобные плюхи принципиально невозможны по причине блокировки любого доступа к адресам с 0x0 по 0xFFFF (0xFFF в случае Win'9x).

Источник: cr0 blog    
теги: linux, retro  |  предложить новость  |  обсудить  |  все отзывы (24) [9327]
назад «  » вперед

аналогичные материалы
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
50 лет Ethernet // 22.05.23 18:51
Линуксовый ботнет, распространяющийся с помощью краденых ssh-ключей // 19.06.22 00:37
50 лет электронной почте // 02.10.21 00:00
Очередной юбилей Linux // 25.08.21 14:56
HP закрыла 16-летнюю уязвимость в драйверах принтеров // 20.07.21 15:14
Microsoft начинает тестирование Linux GUI-приложений под Windows // 21.04.21 21:21
 
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

В linux это тоже невозможно. 14.08.09 17:19  
Автор: aLEXt <Alex Trusty> Статус: Member
<"чистая" ссылка>
Если факты противоречат религиозным убеждениям, то ну их нафиг эти факты 14.08.09 20:41  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
goto securityfocus, secunia, etc.
Поиск по линуксу выдает практически ровно в 10 раз больше всяческих предупреждений безопасности, чем по винде.
но ведь тут каким-то образом проявилось 14.08.09 17:50  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Причем не просто с вылетом, как это было бы при запрете доступа, а именно с escalation. Опять же и патч Линус зачем-то выпустил.
Решето! Винда и то в таких местах продуманей. 14.08.09 12:20  
Автор: &nbsp; Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Да, но там этих мест больше. 15.08.09 07:42  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
В плане обеспечения безопасности сначала - снижение количества сущностей, а уж потом - обеспечение надежности оставшихся. Дверь, которой нет - не взломают, и в замурованное окно - не залезут.
Надо же. Ты еще и в линупсе искперт. 15.08.09 07:59  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> В плане обеспечения безопасности сначала - снижение
> количества сущностей, а уж потом - обеспечение надежности
> оставшихся. Дверь, которой нет - не взломают, и в
> замурованное окно - не залезут.
И еще в методологии разработки ПО. Ты мой кумир
Я эксперт по маразму. 15.08.09 10:40  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Для того, чтобы лечить от маразма музыканта или летчика не надо быть экспертом ни в музыке ни в авиации. Достаточно быть экспертом по маразму.

Неужели вы не видите, что мы создали цивилизацию с надежностью карточного домика? Переизбыток сущностей и взаимосвязей между ними сделал отказоустойчивость практически нулевой, а диагностику причин отказа - практически не возможной. Какая разница - Линух или Мастдай, причина ненадежности одна. Линух лучше тем, что у него ГУЙ и прочие прибамбасы не интегрированы в ядро и могут быть откручены (Тока, кто же их откручивает-то!), а хуже - неудобством настройки для неграмотного юзверя. Почему я и предпочитаю безгуёвый Юникс в качестве серверной платформы, что он проще всего. Кстати, вот и банки, то же, Солярочку предпочитают. К чему бы это?

Избыточный Мастдай был бы вполне допустим в качестве чисто-пользовательской рабочей станции, если бы его разработчики не заморачивались вопросами безопасности, а только устойчивости системы, а всю безопасность делегировали специализированным внешним устройствам и системам. Но попытка скрестить ужа с ежом приводит к тому, что юзверь просто путается во всех "безопасных" наворотах и делает еще хуже себе и другим. Впрочем, и Пингвины страдают тем же...
Купи Windows Server Core и получай удовольствие от... 15.08.09 12:45  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
> Для того, чтобы лечить от маразма музыканта или летчика не
> надо быть экспертом ни в музыке ни в авиации. Достаточно
> быть экспертом по маразму.
>
> Неужели вы не видите, что мы создали цивилизацию с
> надежностью карточного домика? Переизбыток сущностей и
> взаимосвязей между ними сделал отказоустойчивость
> практически нулевой, а диагностику причин отказа -
> практически не возможной. Какая разница - Линух или
> Мастдай, причина ненадежности одна. Линух лучше тем, что у
> него ГУЙ и прочие прибамбасы не интегрированы в ядро и
> могут быть откручены (Тока, кто же их откручивает-то!), а
> хуже - неудобством настройки для неграмотного юзверя.

Купи Windows Server Core и получай удовольствие от отсутствия ГУЯ! :))
Если сможешь...

> Почему я и предпочитаю безгуёвый Юникс в качестве серверной
> платформы, что он проще всего. Кстати, вот и банки, то же,
> Солярочку предпочитают. К чему бы это?

Что ты понимаешь под словом "проще"? Проще для пользователя, который должен хотябы знать о существовании команды man? :))
Ты не перестаешь меня удивлять.

> Избыточный Мастдай был бы вполне допустим в качестве
> чисто-пользовательской рабочей станции, если бы его
> разработчики не заморачивались вопросами безопасности, а
> только устойчивости системы, а всю безопасность
> делегировали специализированным внешним устройствам и
> системам.

Как же ты себе это представляешь?

> Но попытка скрестить ужа с ежом приводит к тому,
> что юзверь просто путается во всех "безопасных" наворотах и
> делает еще хуже себе и другим. Впрочем, и Пингвины страдают
> тем же...

Например?
Действительно, зачем просто и дешево, если можно дорого и... 15.08.09 13:41  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>

> Купи Windows Server Core и получай удовольствие от
> отсутствия ГУЯ! :))
> Если сможешь...

Действительно, зачем просто и дешево, если можно дорого и сложно? Для этого, вообще-то есть совершенно бесплатная ФРЯ.

> Что ты понимаешь под словом "проще"? Проще для
> пользователя, который должен хотябы знать о существовании
> команды man? :))

Пользователь и безопасность - вещи не совместимые. Безопасным может только недопущение пользователя в открытую сеть и защита его от этой самой сети профессионалом. Я еще ни разу не встречал юзверя, сидящего в открытом Интернете, на компе которого не паслось бы целое стадо вирей и адварей. Безопасность тождественна профессионализму. И - только.

> > только устойчивости системы, а всю безопасность
> > делегировали специализированным внешним устройствам и
> > системам.

Я уже сказал, как: как минимум, Циска в качестве файрвола, настроенная спецом, естесственно. Прокся на Юниксе, Кэш Энджайн, Пикс. Для хранения данных - Сторадж, типа Симметрикса, на крайняк - встраиваемый РЭИД, при условии, естессно, что система с прогами и данные - на разных дисках.

> Пингвины
> страдают
> > тем же...
>
> Например?

Чего например? Вся Сеть знает, что 90% взломов - следствие кривых рук админа. Но тут, как я уже сказал, ест только 2 средства защиты - знания и аккуратность. Остальное - утопия и развод.
"Просто и дешево" ? Хорошая шутка!!! :) [upd] 16.08.09 16:48  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 16.08.09 17:02  Количество правок: 2
<"чистая" ссылка>
> Действительно, зачем просто и дешево, если можно дорого и
> сложно? Для этого, вообще-то есть совершенно бесплатная
> ФРЯ.

"Просто и дешево" ? Хорошая шутка!!! :)
Давай-ка посчитаем, сколько нужно времени и знаний, чтобы поставить и сконфигурировать на FreeBSD хотябы следующие службы: AD, DNS(AD itegrated), SMB
по сравнению с тем же набором в Windows Server 2008? Я уж не говорю про сервер обновлений, распространение политик безопасности, конфигурирование X'ов и пр...
И как ты думаешь, где эти службы будут стабильнее работать?

> > Что ты понимаешь под словом "проще"? Проще для
> > пользователя, который должен хотябы знать о
> существовании
> > команды man? :))
>
> Пользователь и безопасность - вещи не совместимые.
> Безопасным может только недопущение пользователя в открытую
> сеть и защита его от этой самой сети профессионалом.

Странное понимаение безопасности.
Ты понятия не имеешь о том, что безопасность всей локальной сети определяется не безопасностью перимерта, а безопасностью самого слабого узла сети.

> Я еще ни разу не встречал юзверя, сидящего
> в открытом Интернете, на компе которого не
> паслось бы целое стадо вирей и адварей.

Зато я встречал. Сам таким пользователям софт настраивал. И если эти пользователи следовали моим рекомендациям, то проблем с вирусами не возникало.

> Безопасность тождественна профессионализму.
> И - только.

Конечно! И в первую очередь тождественна профессионализму разработчиков.

> Я уже сказал, как: как минимум, Циска в качестве файрвола,
> настроенная спецом, естесственно.

А как максимум? :)

> Прокся на Юниксе, КэшЭнджайн, Пикс.
> Для хранения данных - Сторадж, типа
> Симметрикса, на крайняк - встраиваемый РЭИД, при условии,
> естессно, что система с прогами и данные - на разных
> дисках.

Ага! А еще загрузка рабочих станций по сети для "экономии средств на ЖД", оптика по всему офису с коммутатором Cisco... Так?!
Посчитай конечную стоимость и доступность этого решения для сегмента малого и среднего бизнеса.

> > Пингвины
> > страдают
> > > тем же...
> >
> > Например?
>
> Чего например? Вся Сеть знает, что 90% взломов - следствие
> кривых рук админа. Но тут, как я уже сказал, ест только 2
> средства защиты - знания и аккуратность. Остальное - утопия
> и развод.

Ошибаешься! По статистике, б`ольшая часть взломов, следствие ошибочного выбора набора ПО и использования непропатченного ПО.
При наличии знаний - одинаково. Без наличия знаний - нех... 16.08.09 19:19  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
> "Просто и дешево" ? Хорошая шутка!!! :)
> Давай-ка посчитаем, сколько нужно времени и знаний, чтобы
> поставить и сконфигурировать на FreeBSD хотябы следующие
> службы: AD, DNS(AD itegrated), SMB

При наличии знаний - одинаково. Без наличия знаний - нех. лезть.

> по сравнению с тем же набором в Windows Server 2008? Я уж
> не говорю про сервер обновлений, распространение политик
> безопасности, конфигурирование X'ов и пр...
> И как ты думаешь, где эти службы будут стабильнее работать?

А зачем им, вообще работать? Обновления ламеры должны получать из рук админа. За файрволом в корпоративной сети все "политики" дожны рулиться Каталистами С ВЛанами, маршрутизацией и фильтрацией между подсетками. Если же фирма девелоперская, то там все "сами с усами", а всякие среды разработки, типа Симатика, например, вынуждают городить внутри группы такие политики, которые не совместимы ни с чем и ни с кем (тока-что этой дряни накушался до бровей). Так, что вся эта централизация ничего, кроме гимороя не даст.

> Странное понимаение безопасности.
> Ты понятия не имеешь о том, что безопасность всей локальной
> сети определяется не безопасностью перимерта, а
> безопасностью самого слабого узла сети.

Самый слабый узел сети - мозги идиота, а их - не запатчишь. Так, что, либо периметр и кусачие админы, либо - привязка юзверя к порту свича и фильтрация. Естессно, всякий прямой обмен между станциями должен быт запрещен - только общий файл-сервер и все результаты работы - только на нем.

>
> > Я еще ни разу не встречал юзверя, сидящего
> > в открытом Интернете, на компе которого не
> > паслось бы целое стадо вирей и адварей.
>
> Зато я встречал. Сам таким пользователям софт настраивал. И
> если эти пользователи следовали моим рекомендациям, то
> проблем с вирусами не возникало.

Знаешь, это уже не юзверь, если он рекомендациям следует и, главное, знает, как им следовать.

> > Безопасность тождественна профессионализму.
> > И - только.
>
> Конечно! И в первую очередь тождественна профессионализму
> разработчиков.

Только потребителя. Иначе, ограничения, встроенные в систему будут противоречить Правам Человека. Вообще, дожен быть принцип: Каждое юридическое/физическое лицо в сети само и только само ответственно за свою безопасность. Всякая централизованная безопасность либо - невозможна, либо - насильственна. В фирме насильственная безопасность правомерна, а дома - и не допустима и не возможна.

>
> > Я уже сказал, как: как минимум, Циска в качестве
> файрвола,
> > настроенная спецом, естесственно.
>
> А как максимум? :)

Как максимум - сети с ответственной инфой, вообще, в Инет не пускать. А для работы и чтобы себе всякие "дырочки" в Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так модемы из дома не тащит и друзьям там Инет не раздает тока ленивый и совсем тупой), Ставить отдельные компы в Сети: скачал, записал на флешку, предъявил админу.
>
> > Прокся на Юниксе, КэшЭнджайн, Пикс.
> > Для хранения данных - Сторадж, типа
> > Симметрикса, на крайняк - встраиваемый РЭИД, при
> условии,
> > естессно, что система с прогами и данные - на разных
> > дисках.
>
> Ага! А еще загрузка рабочих станций по сети для "экономии
> средств на ЖД", оптика по всему офису с коммутатором
> Cisco... Так?!

Если нужна скорость и безопасность, то только так. Кстати, Симметрикс, для которого я некогда писал компаненты оптимизатора трафика и размещения данных, на полном серьезе доказывает, что централизованный сторадж с бездисковыми станциями экономически эффективнее.

> Посчитай конечную стоимость и доступность этого решения для
> сегмента малого и среднего бизнеса.

Нашему малому бизнесу никакая безопасностьне доступна ни - по уму, ни - по деньгам

> Ошибаешься! По статистике, б`ольшая часть взломов,
> следствие ошибочного выбора набора ПО и использования
> непропатченного ПО.

А что это, если не глупость и неаккуратность?!
Ну конечно! :)) 16.08.09 22:52  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 17.08.09 00:41  Количество правок: 1
<"чистая" ссылка>
> > "Просто и дешево" ? Хорошая шутка!!! :)
> > Давай-ка посчитаем, сколько нужно времени и знаний,
> чтобы
> > поставить и сконфигурировать на FreeBSD хотябы
> следующие
> > службы: AD, DNS(AD itegrated), SMB
>
> При наличии знаний - одинаково. Без наличия знаний - нех.
> лезть.

Ну конечно! :))
Ты на вскидку даже не вспомнишь как называется дистрибутив подобия AD для *nix систем - в инете будешь лопатить. Не говоря уже о порядке установки, опциях конфигурирования ldap.conf, необходимости установки и настройки reference дистрибутивов.
Про отсутствие AD integrated в никсовом DNS и особенностях SMB рассказывать бессмысленно. Грамотное конфигурирование всего этого требует огромных временных затрат, если конфигурить руками с нуля без скриптов и темплейтов.

Все еще "одинаково"?

> > по сравнению с тем же набором в Windows Server 2008? Я
> уж
> > не говорю про сервер обновлений, распространение
> политик
> > безопасности, конфигурирование X'ов и пр...
> > И как ты думаешь, где эти службы будут стабильнее
> работать?
>
> А зачем им, вообще работать? Обновления ламеры должны
> получать из рук админа.

Обновления должны ставиться централизованно и желательно автоматически с сервера обновления. На долю пользователя админ может оставить выбор - установить обновления сейчас или при выключении.

> За файрволом в корпоративной сети все "политики"
> дожны рулиться Каталистами С ВЛанами,
> маршрутизацией и фильтрацией между подсетками.

Ты очень узко понимаешь определение "политика" - забываешь про политики безопасности и доступа к ресурсам локальной сети: (почтовые, файловые, БД службы, службы удаленного доступа), политики паролей, аудита, настройки и разрешения/запреты запуска программ и служб на рабочих станциях и т.д.

> Если же фирма девелоперская, то там все "сами с усами",
> а всякие среды разработки, типа Симатика, например,
> вынуждают городить внутри группы такие политики,
> которые не совместимы ни с чем и ни с кем (тока-что
> этой дряни накушался до бровей). Так, что вся эта
> централизация ничего, кроме гимороя не даст.

Смысл политик как раз в централизованном автоматическом распространении на узлы локальной сети, в противном случае, теряется сам смысл поняти "политика". Проблемы несовместимости ПО, мало коррелируются с "политикой".

> > Странное понимаение безопасности.
> > Ты понятия не имеешь о том, что безопасность всей
> локальной
> > сети определяется не безопасностью перимерта, а
> > безопасностью самого слабого узла сети.
>
> Самый слабый узел сети - мозги идиота, а их - не запатчишь.
> Так, что, либо периметр и кусачие админы, либо - привязка
> юзверя к порту свича и фильтрация. Естессно, всякий прямой
> обмен между станциями должен быт запрещен - только общий
> файл-сервер и все результаты работы - только на нем.

Никакой периметр не спасет от атаки изнутри, или подсадки через инет обозреватель вредоносного кода. А про "мозги идиота" в стандартах ISO нет ни слова. :))
Сколько стоит управляемый коммутратор, ограничивающий обмен между портами, против неуправляемого? Бюджетное решение?

> > > Я еще ни разу не встречал юзверя, сидящего
> > > в открытом Интернете, на компе которого не
> > > паслось бы целое стадо вирей и адварей.
> >
> > Зато я встречал. Сам таким пользователям софт
> настраивал. И
> > если эти пользователи следовали моим рекомендациям, то
> > проблем с вирусами не возникало.
>
> Знаешь, это уже не юзверь, если он рекомендациям следует и,
> главное, знает, как им следовать.

А кто? Системный администратор?
Задача пользователя, работающего в организации, соблюдать корпоративные политики, в т.ч. и политику информационной безопасности компании. т.е. следовать рекомендациям отдела ИТ. Не вижу большой разницы между домашним и корпоративным пользователем, тем более, что при современном развитии технологий граница "корпоративный-домашний" размывается все больше и больше.

Ты в тайге совсем одичал. ;)

> > > Безопасность тождественна профессионализму.
> > > И - только.
> >
> > Конечно! И в первую очередь тождественна
> профессионализму
> > разработчиков.
>
> Только потребителя. Иначе, ограничения, встроенные в
> систему будут противоречить Правам Человека. Вообще, дожен
> быть принцип: Каждое юридическое/физическое лицо в сети
> само и только само ответственно за свою безопасность.
> Всякая централизованная безопасность либо - невозможна,
> либо - насильственна. В фирме насильственная безопасность
> правомерна, а дома - и не допустима и не возможна.

Не будут, полюбому!
Если ты покупаешь и используешь продукт, ты соглашаешься со всеми правилами и органичениями на данный продукт, а также на все его особенности и умолчания в т.ч. И не надо тут "ля-ля" про права человека и все такое... Совершенно не уместно.

> Как максимум - сети с ответственной инфой, вообще, в Инет
> не пускать. А для работы и чтобы себе всякие "дырочки" в
> Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так
> модемы из дома не тащит и друзьям там Инет не раздает тока
> ленивый и совсем тупой), Ставить отдельные компы в Сети:
> скачал, записал на флешку, предъявил админу.

На ЖД, как и во многих гос.корпорациях, нормальные корпоративные политики либо отсутствуют, либо принципиально не исполняются никем, как раз по причине кумовства. Для нормальных организаций корпоративные политики запрещают отношения "начальник-подчиненный" для родственников.

> > > Прокся на Юниксе, КэшЭнджайн, Пикс.
> > > Для хранения данных - Сторадж, типа
> > > Симметрикса, на крайняк - встраиваемый РЭИД, при
> > условии,
> > > естессно, что система с прогами и данные - на
> разных
> > > дисках.
> >
> > Ага! А еще загрузка рабочих станций по сети для
> "экономии
> > средств на ЖД", оптика по всему офису с коммутатором
> > Cisco... Так?!
>
> Если нужна скорость и безопасность, то только так. Кстати,
> Симметрикс, для которого я некогда писал компаненты
> оптимизатора трафика и размещения данных, на полном серьезе
> доказывает, что централизованный сторадж с бездисковыми
> станциями экономически эффективнее.

Можешь представить расчет экономической целесообразности и сроках окупаемости (с учетом стоимости эксплуатации) данного решения для 10, 20, 30 рабочих станций в локальной сети? Сильно сомневаюсь...

> > Посчитай конечную стоимость и доступность этого
> решения для
> > сегмента малого и среднего бизнеса.
>
> Нашему малому бизнесу никакая безопасностьне доступна ни -
> по уму, ни - по деньгам

С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?

> > Ошибаешься! По статистике, б`ольшая часть взломов,
> > следствие ошибочного выбора набора ПО и использования
> > непропатченного ПО.
>
> А что это, если не глупость и неаккуратность?!

Согласен! Глупо и неаккуратно использовать нелицензионное ПО и таким образом ограничивать его безопасность.
Так я уже 5й год - не админ. А когда админю - написал... 17.08.09 05:35  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
> Ну конечно! :))
> Ты на вскидку даже не вспомнишь как называется дистрибутив
> подобия AD для *nix систем - в инете будешь лопатить.

Так я уже 5й год - не админ. А когда админю - написал типовую схему, а от нее - тока конкретные вариации. В древности люди БЭСМ на АСМе кодили и - ничего, быстро: понаписали готовых процедур на все случаи жизни и из них лепили.

> > А зачем им, вообще работать?

Вот именно, работать, а не фигней страдать. Чего ему обновлять, если кроме 1Ски ему на рабочем месте ничего не положено? Разнообразный софт юзают тока кодеры или НИИ, но там безопасность либо такая:
> > За файрволом в корпоративной сети все "политики"
> > дожны рулиться Каталистами С ВЛанами,
> > маршрутизацией и фильтрацией между подсетками.
Либо - никакая.

> Ты очень узко понимаешь определение "политика" - забываешь
> про политики безопасности и доступа к ресурсам локальной
> сети: (почтовые, файловые, БД службы, службы удаленного
> доступа),

Это все решается на конкретных серверах. Например, группы формируются, как ВЛаны, обмен между ними - через файл-сервер.

политики паролей, аудита, настройки и
> разрешения/запреты запуска программ и служб на рабочих
> станциях и т.д.

Ненужных програм на рабочих станциях быть не должно, средств занести их туда - то же.

>
> > Если же фирма девелоперская, то там все "сами с
> усами",
> > а всякие среды разработки, типа Симатика, например,
> > вынуждают городить внутри группы такие политики,
> > которые не совместимы ни с чем и ни с кем (тока-что
> > этой дряни накушался до бровей). Так, что вся эта
> > централизация ничего, кроме гимороя не даст.
>
> Смысл политик как раз в централизованном автоматическом
> распространении на узлы локальной сети, в противном случае,
> теряется сам смысл поняти "политика". Проблемы
> несовместимости ПО, мало коррелируются с "политикой".

Так я и говорю, что поскоку фирмовый софт противоречит друг-другу, это не получится!

> Никакой периметр не спасет от атаки изнутри, или подсадки
> через инет обозреватель вредоносного кода.

Это - чисто админстративная проблема. Досмотр, пломбирование портов и драйвов, штрафы, увольнение, суд.

> Сколько стоит управляемый коммутратор, ограничивающий обмен
> между портами, против неуправляемого? Бюджетное решение?

Есть чего скрывать - найдутся и деньги на это. Нет денег - значит инфа не стоит безопасности. Если директор хочет сэкономить на этом, вариант один - самому стать спецом по безопасности и держать все на своем компе.

> А кто? Системный администратор?

Какая разница, как называется зверь, главное - редкий.

> Не вижу большой разницы между домашним и корпоративным
> пользователем, тем более, что при современном развитии
> технологий граница "корпоративный-домашний" размывается все
> больше и больше.

Домашнему пользователю нельза говорить "низзя", корпоративному - нужно.


> Ты в тайге совсем одичал. ;)

Тут осознание безопасности очень четкое: сам не позаботился - живым не вернулся. А детей одних в лес не пускают.

> На ЖД, как и во многих гос.корпорациях, нормальные
> корпоративные политики либо отсутствуют, либо принципиально
> не исполняются никем, как раз по причине кумовства. Для
> нормальных организаций корпоративные политики запрещают
> отношения "начальник-подчиненный" для родственников.

И где-ж это такие "нормальные" есть? И эффективны ли они?

> Можешь представить расчет экономической целесообразности и
> сроках окупаемости (с учетом стоимости эксплуатации)
> данного решения для 10, 20, 30 рабочих станций в локальной
> сети? Сильно сомневаюсь...

А заплатить мне за это $1000, этак, можешь? Базар-базаром, а работа - тока за деньги.

> С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?

Я знаком с хозяевами. Ни один хозяин не согласится с ограничениями, налагаемыми посторонним лицом: "Как же так, я порнуху качать не буду?".

> Глупо и неаккуратно использовать нелицензионное
> ПО и таким образом ограничивать его безопасность.

Да? А кто мне докажет, что в сем ПО нет закладок? ФСБ? И попутно еще пару туда засунет? Нет, ради моей безопасности - тока опенсорс!
Просто и дешево, лол 16.08.09 07:49  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Действительно, зачем просто и дешево, если можно дорого и
> сложно? Для этого, вообще-то есть совершенно бесплатная
> ФРЯ.
Фря кстати, чуть получше линупса (хотя тяжелое позиксовое наследие дает о себе знать), но все равно "Линукс бесплатен только для тех, чье время бесплатно". До некоторой степени это относится и к фре

> Пользователь и безопасность - вещи не совместимые.
> Безопасным может только недопущение пользователя в открытую
> сеть и защита его от этой самой сети профессионалом. Я еще
> ни разу не встречал юзверя, сидящего в открытом Интернете,
> на компе которого не паслось бы целое стадо вирей и
> адварей. Безопасность тождественна профессионализму. И -
> только.
Я встречал. В подавляющем большинстве случаев достаточно регулярных апдейтов (то есть дефолтные настройки). Если еще и антивирус стоит да файрвол включен, да UAC...
Ну разве что иксперт. Потому как на эксперта не тянешь вообще. Ни в одном вопросе, который я "имел счастье" с тобой обсуждать 15.08.09 10:48  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 15.08.09 13:12  Количество правок: 1
<"чистая" ссылка>
"Пацаны во дворе сказали, дриста - говно, @$а". И если школьники, которые несут неаргументированную чушь еще могут повзрослеть, то для тебя уже все слишком поздно.
Причем здесь пацаны? 15.08.09 14:08  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Если уж у меня нет потребности переходить на Дристу, я, даже, вообразить не могу, зачем мне это может понадобиться, то у ламеров - и подавно. Ну, ладно - ХР, вроде бы, чуточку постабильней, чем 2к, зато в штатном "ламерском" варианте это сплошное тормозило. Кто не знает, как отключить восстановление системы, тот удавится нах. Ну что не грамотному юзверю может дать Дриста, кроме гимороя с освоением новой системы? Другую цветовую гамму на столе и менюхи не там, где он привык?

Ты пойми - всякое потребление идет от потребности! А все потребности и ХР удовлетворяет полностью.

А повод для злости уменя, между прочим, чисто шкурный: Дриста, Нет и Шарп сделали меня безработным. Теперь мне надо потратить уйму времени и средств не изучение глубоко мне омерзительных и, при этом, абсолютно бесполезных вещей, хотя я вполне в состоянии удовлетворить все мыслимые запросы любого заказчика на обычном С++, но он, видите ли, "вышел из моды"!
Подожди, ты ж не знаешь ни той ни другой. У тебя есть два... 16.08.09 04:00  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Если уж у меня нет потребности переходить на Дристу, я,
> даже, вообразить не могу, зачем мне это может понадобиться,
Подожди, ты ж не знаешь ни той ни другой. У тебя есть два варианта:
1. Положиться на мнение более грамотных товарищей и поставить таки новую ВЕРСИЮ той же ОС.
2. Оставаться на чем угодно - хоть на линупсе - но воздержаться от оценочных суждений по вопросам, в которых ты не разбираешься.

> то у ламеров - и подавно. Ну, ладно - ХР, вроде бы, чуточку
> постабильней, чем 2к, зато в штатном "ламерском" варианте
> это сплошное тормозило.
2к в штатном "ламерском" варианте просто не запускало две трети игрушек. XP была МЕДЛЕННЕЕ тукея (тукей медленнее 98-й, а 98-я медленее DOS-а) но при этом нормально запускала все игрушки, и была нормально

> Кто не знает, как отключить восстановление системы, тот удавится нах.
О, "твики" пошли. Ну расскажи зачем же отключать восстановление системы :-)

> Ну что неграмотному юзверю может дать Дриста, кроме гимороя с
> освоением новой системы? Другую цветовую гамму на столе и
> менюхи не там, где он привык?
UAC/UIPI? Новый NDIS с WFP (процентов 80 виденных мной багчеков на юзерских машинах были вызваны упавшим файрволом или антивирусом)? UMDF (остальные 20 - упавшим видеодрайвером)? KTM (напрямую пользователь от этого выиграть не может, но к примеру можно начать инсталляцию в транзакции и в случае ошибки начисто откатить все изменения)? И еще десятки других фич, от которых пользователь получает профит либо напрямую, либо косвенно - через обеспечение более удобных интерфейсов для программистов, которые пишут под эту платформу и соответственно дают на выходе более качественный код.

Но раз пацаны тебе говорят говно, значит говно - хули

> Ты пойми - всякое потребление идет от потребности! А все
> потребности и ХР удовлетворяет полностью.
Да я знаю, что для тебя любые технологии моложе 15 лет - происки сатаны. Переубеждать тебя я не хочу, но был бы весьма признателен, если бы ты держал свое профанское мнение при себе.

> А повод для злости уменя, между прочим, чисто шкурный:
> Дриста, Нет и Шарп сделали меня безработным. Теперь мне
> надо потратить уйму времени и средств не изучение глубоко
А почему они не сделали безработным меня? Может попробуешь поискать причину еще раз?

> мне омерзительных и, при этом, абсолютно бесполезных вещей,
> хотя я вполне в состоянии удовлетворить все мыслимые
> запросы любого заказчика на обычном С++, но он, видите ли,
> "вышел из моды"!
Из моды, говоришь? http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
На плюсах можно писать хорошо, но для этого таки надо уметь это делать.
Восторгов по поводу .net я не разделяю, но настроен по поводу него гораздо менее скептически, чем несколько лет назад. Я бы с удовольствием писал на чем нибудь типа схемы, и оптимизировал боттлнеки вручную на C++/C/asm. Если бы этой самой схемы была такой же полноты class library и такой же уровень внедрения как у шарпа. Шарп же мне особо не дает преимуществ перед плюсами, но при этом таки тормозит (что бы там ни утверждали евангелисты). Только поэтому я на нем и не пишу, а не по каким то религиозным мотивам.
Спец должен быть грамотным, и тогда его никто не будет нагибать -- вон, Amirul сидит на Ц/Цпп под вендой, и никто его на шарп пересаживать не собираиццо ;) 15.08.09 16:11  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Я его компетентность не оспариваю 15.08.09 18:22  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Тока, у него немного больше возможностей для выбора.
А, кроме того, возможности для выбора в результате появления всяких новых ненужностей, все равно, сильно сократились. Потребитель туп, он требует не того, что нужно и достаточно, а того, что модно. И хрен ему что докажешь - кто платит, тот и заказывает музыку. Всеми этими "новомодностями" самим же себе дорогу перекрываем. Вместо опытных и квалифицированных кодеров вперед пролазят молокососы, едва освоившие новомодную фигню, но хорошо научившиеся вешать клиенту лапшу. Еще немного, и придется, и правда, сваливать на Линух...
Сваливать на линух? Да скатертью дорога 16.08.09 04:02  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Там как раз некомпетентная воинственность в почете
Ну, уж... Чего-чего, а ламеров вокруг Линукса куда меньше, потому они и заметны 16.08.09 04:38  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Другое дело, что я не только кодер, но и юзер, причем, я сильно не горю желанием осваивать какую-нить новую "кривизну" вместо той, к которой я уже привык после того, как потратил на ее освоение 10 лет, а ни АКАДа, ни Земакса ни Фотошопа там нет...
Срсли? Поставил убунту и экспа автоматом удваивается 16.08.09 07:52  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
http://www.h-online.com/open/FSF-launch-GNU-Generation--/news/113992
Приглашают школьников 13-18 лет побыдлокодить для ГНУ.
А под МД кому не лень не быдлокодит? 16.08.09 08:20  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Для того, чтобы @$унту поставить, все таки нужно некоторое количество мозгов и решимости...
О, да! @$унту отличное решение для рядового пользователя!!! :) 16.08.09 16:55  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 17.08.09 00:13  Количество правок: 1
<"чистая" ссылка>
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach