Alexey Pechnikov -> debian-russian@lists.debian.org @ Thu, 11 Mar 2010 17:17:38 +0300:
>> Не все держат по одному серверу у сотни хостеров. Некоторые - по >> десятку у одного. И кстати, поинтересуйся у своего хостера, нету ли у >> него часом оного миррора. Если у него это на сайте не написано, это еще >> не значит, что нет. AP> Там виндоус и фря, так что им без надобности. Ты точно спросил, или это так, эротические фантазии? AP> Отклонюсь от темы: можно ли "криво" поставить дебиан? Обратитесь в AP> агаву, узнаете :-) Спасибо, мы и так в курсе. И про агаву тоже. >> >> Причем с шансами раздаваемый по NFS (r/o, естественно), чтобы кэшей не >> >> плодить. >> >> AP> С локалками не работаю, посему позвольте не разделять горячую >> AP> любовь к NFS. >> >> Ты, опять же, не поверишь, оно не только по локалке умеет. Оно >> вообще-то по IP работает... AP> То есть открыть доступ на удаленный порт 80 несекьюрно, а светить AP> голым, простите, NFS в инет - нормально? r/o-то? Абсолютно. Впрочем, опять же, торчать им для _всех_ никто не заставляет. Файрволу нонеча не только порт, но и адрес можно рассказать. >> Ну да. Через smarthost. Который таки да, занимается ровно пересылкой >> почты и на котором приняты некоторые меры по блокировке потоков с >> затрояненных машин. >> >> Или тут тебе уже UNIX way не нужен? AP> А если немного посчитать? К примеру, типичный ботнет это порядка 10 AP> - 100 тысяч машин. Ежели они одновременно отправят по письму одному AP> и тому же получателю, последний загнется. А отправка одного письма AP> явно не может автоматически блокироваться как рассылка спама. И где AP> профит? Типичный ботнет - это отношение "многие ко многим". Поэтому на отправляющем конце машина, участвующая в ботнете, как раз нормально ловится. >> Именно. А равно и многое не нужно. Тоже в зависимости от задачи. И >> вот то и другое и подкреплено файрволом для пущей безопасности. >> >> >> Ему вполне достаточно HTTP на 1 >> >> (один) адрес. >> >> AP> У меня только своих репозиториев 2 используется - публичный и >> AP> приватный. Плюс где как - где бэкпорты нужны, где debian-multimedia >> AP> и проч. Явно один адрес вопроса не решает. >> >> Ну, явно четыре. А на сервер взломщика за payload'ом его червяка-то >> зачем ходить? AP> Взломщик - это лицо, имеющее шелл-доступ? Еще не имеющее. Находящееся в процессе получения. Автоматическим червяком. Он влезть-то влез, а чтобы пользу из этого извлечь, ему надо втащить собственно то, что будет работать (оно и будет в данном случае payload), запустить его, и его еще должны выпустить, чтобы он эту работу сделал. Если нихрена не блокировать, то он все это успешно проделает. А если блокировать - то очень как повезет. Всунуть же payload прямо в момент взлома часто от "тяжело" до "невозможно", и так в норме не делают. Всовывают код, который все остальное может вытянуть из сети. Если она открыта. А если нет - не беда, найдем другого, у которого все открыто, "потому что много другой функциональности". Вон, у Печникова в соседней стойке сервер... Через него, правда, уже кто-то спам релеит через механизм отлупов от мейлер-демона, ибо там qmail, который сперва принимает, а потом думает, ну да не беда, уживемся... Да, защиту обычно пробивают в самом узком месте. Но если в самом узком месте три заслона один за другим - пробить придется все три. Это сложнее, чем один. Может не получиться. -- Пришел в гости математик, почитать новую рукопись. Вычитал из нее трех героев напрочь, и ушел. Gimli on #arda -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/77829...@tigger.lan.cryptocom.ru