On Thu, Sep 07, 2006 at 08:35:18AM +0500, Aleksey Korotkov wrote: >> Ну для начала рекомендую сделать ls -l /home в Debian. AK> А что там? Пока посмотреть не могу; писал, что временно на Федоре.
А вы посмотрите, посмотрите. Там право на "зайти но не читать" на все домашние каталоги пользователей по-умолчанию. Таким образом если в домашнем каталоге завелся файл с правами на чтение для всех (а по-умолчанию чаще всего так и есть), его может прочитать любой другой пользователь, если знает его называние. >> Когда я первый >> разэто увидел, у меня шок был. Тяжелый. Потом рекомендую посмотреть >> на предмет chroot. Большинство сервисов в ALTзапускается в чруте, в >> отличии от. AK> Если я правильно понимаю, чрут от взлома, если что, не поможет. Неправильно понимаете, увы. Чрут это способ локализации проблемы. Скажем ну взломают у меня на хостинге bind. Хреново конечно, но обновления bind будет для меня достаточно чтобы о том взломе забыть. Ну и прибить, конечно, лишние процессы если были запущены. В Debian умолчальной конфигурации компрометация любого из сервисов означает компрометацию сервера целиком. >> Потом рекомендую посмотреть на большинство пакетов >> собираемых ldv. Потомпойти на openwall.org, почитать и подумать (Hint >> -- сборкисинхронизируются с openwall). AK> Это что -- намёк на то, что Дебиан несовместим с openwall? Что значит "совместим/не совместим"? О чем мы говорим? Достаточно пойти, скачать src.rpm того же openssh из ALT, и посмотреть на содержимое патчей. И подумать. Я подумал, вывод свой сделал. AK> По-моему, сравнивать можно только так: ставим рядом два сервера -- один AK> с Альтом, другой с Дебианом, накатываем все имеющиеся для данного AK> дистрибутива секурные патчи (если таковые есть), настраиваем и нанимаем AK> команду взломщиков. После чего анализируем: что взломано, за какое AK> время, насколько хреновые последствия и т.д. и т.п. А так всё AK> абстракции. Увы, это позволяет ловить только _известные_ уязвимости. А есть ещё средства для уменьшения последствий появления будущих уязвимостей. Тот же chroot к ним и относится. А не хочу всю жизнь судорожно вглядываться в почту, не пришло ли очередное уведомление о найденой дыре в каком-нибудь решете типа bind. И после этого трясущимися пальцами качать, собирать и устанавливать обновления. Я хочу _знать_, что если поимеют тот же bind, то в худшем случае испоганят DNS-зону. А данные окажутся целы и невредимы. >> А если меня замучает параноя, я начну грязно матерится и делать >> поддержкуSELinux в ALT. AK> Хе. А её там нет? Вот вам ваша хвалёная безопасность :) В Федоре есть. А проку-то? SELinux это не волшебная палочка "поставил и сразу все секьюрно". Мало его поставить, надо ещё и политики грамотно составить. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- > rebuild: rebuild of `cinepaint-0.18.1-alt1.1.src.rpm' failed. оно еще живое? в морг! -- shrek in devel@ _______________________________________________ smoke-room mailing list smoke-room@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/smoke-room