 |
|
|
ru.unix.bsd- RU.UNIX.BSD ------------------------------------------------------------------ From : Igor Nikolaev 2:5030/266 17 Aug 2006 19:59:41 To : "Alex Ivanov" Subject : Re: firewall -------------------------------------------------------------------------------- Alex Ivanov <orm@ridexgroup.ru> wrote: > Если исходить из этой логики, то в грамотно настроенной сетке с нормальным > софтом фаервол не нужен. Что есть не верно. (надеюсь ясно, из-за чего? ) Почему неверно? Верно. Изойдём из эхотага, то бишь к примеру примем под нормальным софтом сеть freebsd машин (желающие могут рассмотреть пример openbsd :) > IMHO все-таки правильнее и проще сделать ipfw deny all from any to any и > открыть только то, что нужно. Утомительно однако. У нас где-то 245 строк заголовочный файл /etc/rc.firewall занимает... > 1. Сперва по sockstat найти все открытые не туда порты. Что такое "не туда"? Hе туда это куда? Может просто эти самые не туды из роутинга вынести и дело с концом ? > какие нет... Я хочу напомнить, что большенство демонов при настройки по > умолчанию слушают на * (взять тот же syslog), и некоторые не умеют принимать Hапомни: % grep syslogd_flags /etc/defaults/rc.conf syslogd_flags="-s" # Flags to syslogd (if enabled). % > (класика жанра - внутрений Web сервер без авторизации). Классика жанра это <VirtualHost 192.168.0.1> allow from 192.168.0.0/255.255.255.0 Мы же не на m$iis глядим? > А ведь возможна (и вполне реально для некоторого кривого софта) ситуация, Стоп. Посмотри пожалуйста на допущения из первого абзаца: 1. грамотно настроенная сеть 2. нормальный софт > Или еще реальная ситуация - в условиях спешки для каких-то целей (для Кто напортачил - на том и ответственность. В правильной ситуации спешные цели реализуются в песочницах. > Хочу напомнить, что одна из главных задач админа - _всеми_ > силами мешать взлому, пусть даже это только временная > отсрочка (а учитывая, что 95% народу Что?! Он что, совсем плохой, ему что, больше заняться нечем?! Главная задача администратора - как можно меньше мешать системе зарабатывать деньги. > Как говорил Конфуций, "не надо плодить сущностей без необходимости". Бестолковый firewall лучше чем отсутствующий. hostmaster должен быть точен. Ибо лучше ничего не сделать, чем сделать дурость. Entia non sunt multiplicanda praeter necessitatem. William of Ockham > Пускай фаервол фильтрует не нужные пакеты firewall *не фильтрует ненужные пакеты*. Hенужные пакеты фильтрует ids. Межсетевой экран используется для управления пакетами на уровне tcp/ip. Он с одной стороны вовсе не определяет "а кто нонче нужный", а с другой позволяет изменять параметры пакетов. Hе нужно читать жёлтую прессу. firewall имеет очень относительное отношение к безопасности :-) -- И --- ifmail v.2.12.os.sensi * Origin: Курсы по ковырянию в носу (2:5030/266@fidonet) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.unix.bsd/1341616aebe2f.html, оценка из 5, голосов 10
|
|
|