На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2004-12-14 на главную / новости от 2004-12-14
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 14 декабря 2004 г.

Исследование обнаружило в Linux мало ошибок

По сравнению с рядовым коммерческим ПО в операционной системе с открытым исходным кодом во много раз меньше багов.

К такому заключению пришел четырехлетний исследовательский проект, выполненный компанией Coverity, специализирующейся на анализе кода, которая планирует обнародовать свой отчет во вторник. В 5,7 млн строк кода, составляющего последнюю версию ядра операционной системы Linux, было обнаружено 985 ошибок. По данным Карнеги-Меллонского университета, обычная коммерческая программа аналогичного размера содержит в среднем 5000 ошибок.

«Linux-очень хорошая система в смысле плотности багов, — сказал Сет Халлем, глава Coverity, компании из Сан-Франциско, которая производит инструменты обнаружения ошибок для ПО, написанного на языках программирования С и С++.

Инструменты анализа кода обычно используют принципы проектирования ПО для анализа исходного кода программы и выявления любых возможных проблем. Microsoft широко применяет такие инструменты в своих внутренних разработках, и простейшие версии подобных программ начинают появляться во многих компиляторах. Эти инструменты используются и для «приручения» дикого кода, наводняющего веб.

Хотя у Coverity нет никаких данных об относительной частоте ошибок в операционной системе Microsoft Windows, ее информация, вероятно, подольет масла в огонь споров между приверженцами Linux, Mac OS X и Windows о том, какая из операционных систем безопаснее.

Например, недавний отчет показал, что в Red Hat Linux меньше критических ошибок, чем в Microsoft Windows. Другое исследование, проведенное Forrester Research по заказу Microsoft, отдает предпочтение Windows, что не удивительно.

Coverity не анализировала исходный код Microsoft Windows потому, что не имела доступа к этому коду, сказал Халлем. В Mac OS X от Apple Computer много проприетарного кода, но в качестве ядра операционной системы используется ОС с открытым исходным кодом BSD.

Халлем подчеркнул, что исследование Linux — а именно, версии ядра 2.6 — показало, что процесс разработки open source приводит к созданию безопасной операционной системы. «Существуют другие опубликованные отчеты, в которых приводится плотность ошибок для Windows, и я могу утверждать, что Linux сопоставима или лучше, чем Windows», — заявил он.

Исследование показало, что ядро Linux превосходит по своему качеству заурядный коммерческий код. Согласно апрельскому отчету рабочей группы National Cybersecurity Partnership о жизненном цикле программного обеспечения, который ссылается на анализ методов разработки, проведенный Институтом программирования при Карнеги-Меллонском университете, проприетарное ПО в целом содержит от 1 до 7 ошибок на тысячу строк кода. Для программы в 5,7 млн строк, как в версии 2.6 ядра Linux, это дает от 5700 до 40 тыс. ошибок.

Microsoft для обследования Windows использует аналитические инструменты, подобные инструментам Coverity. Один из них, PREfast, установлен на рабочей станции каждого программиста для выявления в коде простых проблем. Другой инструмент, PREfix, каждую ночь обрабатывает исходный код Windows, вылавливая более сложные ошибки. Халлем признает, что применяя подобные инструменты, Microsoft, скорее всего, уменьшила число дефектов в Windows.

Coverity планирует регулярно публиковать отчеты о багах в Linux и доводить результаты до сообщества разработчиков.

 В продолжение темы:
2004-12-16   Студенты обнаружили десятки ошибок в Unix-ПО
2004-12-20   Исправлены критические уязвимости в PHP
2005-06-20   Конкурент из лагеря open source называет Linux «безобразием»
Обсуждение и комментарии
Hoc
14 Dec 2004 3:31 PM
Только вот Microsoft использует технологию отлова багов довольно давно,w2k был первым где было выловленны тысячи ошибок. В linux'е никто этим до сих пор плотно не занимался, да и отчёты вот только начали появляться, до отлова дойдёт лет через 20 ;)
 

Wintermute - devnul.ru
14 Dec 2004 3:37 PM
"Мы не видели исходного кода Windows, но осуждаем!"
 

БиллиГатес
14 Dec 2004 4:17 PM
Наши дефки молодые специалисты забабахали шабашку - АРМ по учету продажи лаптей на рынке. Надо послать, соотношение багов порадует линуксоидов еще больше. Хотя, может это ее и анализировали.
 

Следопыт
14 Dec 2004 4:49 PM
2Нос
Вы уверены что в линуксе этим никто не занимается??
 

geor
14 Dec 2004 5:19 PM
> до сих пор плотно не занимался

ага а правительства и крупнейшие ИТ компании типа оракла, ибм, просто компилят и сертификацию закрыв глаза проводят :)

> "Мы не видели исходного кода Windows, но осуждаем!"

зачем видеть что внутри если мы хорошо видим результат ? а результат сламера пока не превзойден ...
 

Пётр
14 Dec 2004 5:23 PM
так чего проанализировали-то? ядро? тогда причём здесь сламмер?
 

Alexander S.
14 Dec 2004 6:06 PM
"Исследование показало, что ядро Linux превосходит по своему качеству заурядный коммерческий код."

Ну и слава богу!

То есть исследование обнаружило, что в ядре Линукса содержится меньше ошибок на 1000 строк кода, чем в заурядной коммерческой программе "Barbie Horse Adventures: Mystery Ride" или "Learn to Play Chess with Fritz and Chesster".
 

LinFan
14 Dec 2004 6:55 PM
Ты глянь как народ жаба давит ;)
 

PTO - ptokgb.ru
14 Dec 2004 6:57 PM
Клева, берем релиз ядра 2.6 (интересно как это они его 4 года исследовали - вроде как ядру этому сильно меньше) - запускаем тулу для поиска ошибок. находим некоторое кол-во, потом говорим, что в проприентарном коде таких в разы больше.
в МСе _В_ПРИНЦИПЕ_ нельзя засабмитить в дерево код, на котором срабатывает prefast & prefix + компилируется с ключем компилятора, который не дает срабатывать переполнению буфферов. Т.е. ошибок, которые могли бы быть найти этой байдой в финальном коде (да и в бетах - правила одни и те же) просто быть не может как класс. Означает ли это, что винды самые безопасные согласно данного тезиса?
Странно слышать несколько вещей и вообще очень интересно как они вообще сие исследовали? ведь это чушь полная, достаточно посмотреть просто на все возрастающее кол-во уязвимостей в системах год-от-года - начали смотреть внимательнее и оно повалило как из рога изобилия.
Странно, год от года в линуксовых дистрах находят все больше дыр, а в виндах все меньше (2002-2003 год - Винды меньше на 9%, МС вообще меньше на 29% уязвимостей, у Редхата +37%, у дебиана и того больше - 46%!). Объяснить сие можно только серьезной борьбой с уязвимостями в МСе и безответсвенном подходе опенсорсного комьюнити к вопросам безопасности - ну дык миллионы красных баг все ошибки найдут, а у тебя есть исходники - все сам пофиксить можешь. Посему получается, что выпуская РедХат9 в нем на 67% больше уязвимостей чем в РедХат8... т.е. идет УВЕЛИЧЕНИЕ кол-ва проблем, у МСа же сий параметр сильно лучше - идет ПАДЕНИЕ кол-ва проблем год от года (56% вниз ВинСервер2003 по сравнению с ВинСервер 2000) - при этом абсолютные цифры опять же ниже
Про исследования просто смех: 1-е исследование набор FUDа в лучших традициях - все ошибки у МСа мега-опасные, а все ошибки в Линуксе снимаются простой настройкой, при этом линукс администрят с рабочей станции, а вот ВинСервер с консоли с помощью ИнтернетЕксплорера... тьфу даже читать противно... и эти люди обижаются на МС с его ГедЗеФактс... ну конечно, там же факты, аналитика, методика подробным образом расписаны.
Ссылка на "Другое исследование, проведенное Forrester Research по заказу Microsoft, отдает предпочтение Windows, что не удивительно."... вызывает умиление... это исследование проведено НЕ ПО ЗАКАЗУ... за его проведения НИКТО не платил НИКОПЕЙКИ окромя самого форестера. Прямо так написано В ПЕРВЫХ СЛОВАХ про этот отчет по ссылке... "In this non-sponsored report, Forrester collects a year's worth of data and analyzes Windows and four key Linux distributors on key metrics of responsiveness to vulnerabilities, severity of vulnerabilities, and thoroughness in fixing flaws" и конечно не удивительно, что в отчете, в создании которого принимали участие "Noah Meyerhans of Debian, Vincent Danen of MandrakeSoft, Allen Jones of Microsoft, Mark Cox of Red Hat, and Roman Drahtmüller of SUSE for the time that they so generously dedicated to this research" в фаворе оказался МС!
 

PTO - ptokgb.ru
14 Dec 2004 6:58 PM
Ща мне придут и расскажут про две серебрянные пули:
1. pax - хехе, означает ли это, что код можно писать через одно место, если есть такая мега-защита?! ну помогает оно в некоторых случаях переполнения буферов... ну дык это не более 1/3 всех язвимостей - это у ВСЕХ вендоров 1/3 уязвимостей... что делать с остальными проблемами никто не сказал пока что (расскажите как он защитит от integer overflow, XSS, SQLinjection)... кто проводит трейнинги опенсорсных программеров по принципам написания безопасного кода? где материалы эти можно найти? у МСа трейнинг ОБЯЗАТЕЛЕН для каждого программера и ежегодная переаттестация. Книга с материалами трейнинга широко доступна, в т.ч. на русском языке. Со-Автор этой книги приезжал в Москву с докладами, другой со-автор публикует веб-лог с кучей полезной информации... что говорит про это линуксовое комьюнити? вот читаю Linux Journal http://www.linuxjournal.com/article/7237 - как типа делать безопасные системы на ПХП - читаю и плачу - в коде про SQL injection человек делает все не правильно, т.е. обманывается его "проверка" на раз-два-три без проблем... и это по мнению гуру самая лучшая статья про безопасность ЛАМПа... я тащусь господа присяжные заседатели
2. grsec/SELinux - удачи его настройщикам хочется пожелать... 15000 параметров в текстовом файле для обычной конфигурации... шаг в лево-шаг в право и либо "несекьюрная система" либо "залоченная система, что не работает". Сделано кайфно, но кто кульных хацкеров учит как ею правильно пользоваться? я пока еще не видел системы, где бы сие работало надежно и самое смешное безопасно с Апачем и/или сендмейлом... народ так трахается настраивая параметры, что рано или поздно появляется запись "а гори оно огнем, лижбы работало"... и отследить кто и когда сие сделал невозможно - текстовый конфиг и минимум аудита
Слушал тут лекцию Ховарда - прикольно рассказывал - приходят в банк типа за безопасность, ну те говорят - ИИС ваш ацтой, АСП фигня - мы все будем делать на ЛОМПе - ну т.е. на ПХП... ну те им собственно говорят - ну вот вы сделали свой сайт, все клево - а вы знаете, что там easter egg в ПХП встроен? как говорят так - это опенсорс - ну заходят они на ближайший сайт и показывают в действии так сказать...
http://www.linuxjournal.com/?=PHPE9568F36-D428-11d2-A769-00 AA001ACF42 и видит долбанную собаку, а в некоторых версиях в определенные дни чудака с двумя карандашами из носа торчащими... потом в ДРУГОЙ банк приходят люди и им говорят - не ходите туда, у них на сайте фотки идиотов и собак публикуют - они не серьезные банки... (все разговоры про то, что это отключается можете переадресовать в форумы линуксджорнала, которые это сделать не смогли)
 

PTO - ptokgb.ru
14 Dec 2004 6:58 PM
Есть ли проблема безопасности у МСа? ЕСТЬ И ОГРОМНАЯ... точно так же как и у ВСЕХ, кто делает ПО... одно единственное отличие заключается в том, что МС открыто про это говорит и РАБОТАЕТ над своими ошибками, меняя формы общения, внутренний процесс разработки, трейнинги и т.п.. Общество опенсорса как мантру повторяет легенду про миллионы глаз, провозглашенную Эриком Реймондом. Эта легенда не работает. то, что сейчас происходит яркое тому свидетельство, ибо ошибка в сендмейле CAN-2003-0161 жила в опенсорсе 15 ЛЕТ в САМБЕ CAN-2003-0085 - 7 лет, в керберосе - 10 лет, в продукте самого Erik-a Raymonds - Fetchmail 5.5 лет... было два проекта для этих миллионов глаз - призывали их исследовать исходники, типа трастворти от опенсорса - www.sardonix.org и линукс аудит - lsap.org - оба ЗАКРЫЛИСЬ ибо НИКТО Не хотел искать баги - гораздо приятнее написать новую мегафичу, новый оконный менеджер, 10004й текстовый редактор, чем править баги в чужом коде, особенно, когда этому не учат ну нигде.
Вспоминается дело Enron - мужика спрашивают - докажите что вы не украли эти деньги - легко говорит, отчеты просматривали 1000000 человек - они публично опубликованы... вот только 1000000 человек не из аудиторской конторы и даже не из счетной палаты и им не платят за поиск левых схем завышения прибыли
 

PTO - ptokgb.ru
14 Dec 2004 7:00 PM
Помимо безопасности еще есть проблема у МСа большая с ПиАром - нет, чтобы нормально воевать с подобным ФУДом, сидят себе в кубышке и боятся голову высунуть. Вон - отломали АМАЗОН - сделали дефейс на продакшн веб-сервере - никто не орет, статей разгромных про ацтойный ЛАМП нету в прессе - интересно, а почему? когда у МСа отломали какую-то машину, что в microsoft.com домене была, ничего наружу не выдавала и вообще похоже забытая в стойке стояла отломали так вой стоял и небось мне сейчас примеров пришлют тут же.
 

Alexander S.
14 Dec 2004 7:10 PM
"как говорят так - это опенсорс - ну заходят они на ближайший сайт и показывают в действии так сказать...
http://www.linuxjournal.com/?=PHPE9568F36-D428-11d2-A769-00 AA001ACF42 и видит долбанную собаку,"

А если зайти сюда, то покажут кролика:

http://distrowatch.com/?=PHPE9568F36-D428-11d2-A769-00AA001 ACF42

А мужик с карандашами в носу вот тут:

http://www.linuxcenter.ru/?=PHPE9568F36-D428-11d2-A769-00AA 001ACF42

(Пробельчики если где будут в URL- уберите их)

Это не по теме, конечно, но поучительно.
 

Alexander S.
14 Dec 2004 7:25 PM
>Ты глянь как народ жаба давит ;)

Точно: Барби, Фриц и Честер обзавидовались.:)
 

Банч
14 Dec 2004 7:54 PM
>PTO
блин, круто!
спасибо за инфу
 

PTO - ptokgb.ru
14 Dec 2004 8:51 PM
2 Банч: да если бы хваленый МСовский маркетинг про это на каждом углу рассказывал, дык нет ведь...
 

NoName
14 Dec 2004 9:16 PM
2Hoc: тебе как знатоку истории надо-бы было знать откуда у той тулзы что w2k потрошила ноги растут. Прально, было писано под Linux одним из убитых линуксоидов.
 

NoName
14 Dec 2004 9:23 PM
2PTO: ты конечно же в MS маркетинге секёшь болше чем сама MS, только вот почему-то ты не Редмонде, а до сих пор в совке. На мысли не наводит ? И кстати сказать наличие дыр в той-или иной OS как правило зависит от установленного софта. Если у меня не установлен IIS то мне на Nimda и хацкеров положить, так же как и отсутствие Apache на Linux'е приводит к отсутствию его дыр через которые можно скомпроментировать систему. PTO, ты довольно однобоко подходишь к данному вопросу, хотя от тебя ничего другого ожидать не приходится, ты так сказать лицо заинтересованное.
 

PTO - ptokgb.ru
14 Dec 2004 9:44 PM
2 NoName: вы конечно же знаете название этой тулзы, автора и имеете урл про корни префикса и префаста

Не, я в маркетинге ну ничего не понимаю - я только учусь, вот специально купил Коттлера почитать на досуге... засыпается под нее хорошо. Кхм, про Редмонд не слово - я только-только из Сиэттла прилетел, меня еще джет-лег не отпустил, посему могу сорваться... ну проехал я по Редмонду, ну прикольный городишко, ну кампус интересный, ну водитель с гордостью показывает пальцем на дом БГ и называет сколько стоит земля по-соседству (у них типа хохма там такая... правда цены называемые растут год от года)... ну посмотрел на особняк Амазона. Скушно там зело. Если бы мне нужно было уехать из моей Родины, я бы мог сие сделать очень давно - я даже сделал себе рабочую визу в США когда кризис в 1998 году случился... с испугу, даже повез жену посмотреть где жить/работать... слава Богу все наладилось раньше, чем финальные документы и разрешения приехали, а то сидел бы как наши уехавшие и пытался бы всем доказать как правильно я сделал и какие они все остальные совки, что остались. Скажем так - у меня тут работа, дом, машина и прочее в большинстве случаев лучше, чем у уехавших туда... ну в Калифорнии климат по-лучше... а уж Редмонд/Сиэттл - бррр... дожди все время, хмурое какое-то все.... на фиг

есть дыры в ОС, в приложениях, есть т.н. в стеке приложений (например - LAMP - Linux, Apache, MySQL, PHP или WS+IIS+SQL), можно сравнивать и эти позиции... все-равно эта статистика вам не понравится...

Я однобоко?! я всего-лишь отвечаю на ФУД из статьи! призываю народ отринуть чары маркетинга и пиара пролинксоидного сообщества и начать думать головой самостоятельно, изучать внимательно что пишут и критически подходить к любому исследованию
 

AD - adastral-on.net
14 Dec 2004 10:38 PM
Это сейчас мода такая пошла, гнать на MS. Типа самый главный злодей и враг. А FUD'а с обоих сторон предостаточно.
2PTO: твои высказывания вызывают примерно такие же ассоциации как и статья. Не в защиту open sourse, а просто в пику тебе, вспомним замечательные игрушки в MS Office 97, в IE в окне About Internet Explorer... Насчет книг. Что, мало пионерщины понаписано про MS и около-MS продукты?
Так что соглашусь только с одним тезисом - думайте своей головой.
И самое главное, не нужно отождествлять Open Source только с GNU.
 

Simon
14 Dec 2004 10:44 PM
2PTO: блин, сколько раз зарекался язвить по поводу Ваших высказываний... Но удержаться не могу. У автора книги, под которую Вы засыпаете, одна буква "т" в фамилии. И в оригинале, и в переводе. Ах да, вы когда книгу берёте, на обложку не глядите. А зря. Авторитет в своей области гораздо больший, чем Таненбаум в нашей.
 

geor
14 Dec 2004 10:49 PM
у сколько лапши ...

сравнивать 3 программы типа notepad в виндовсе и тысячи пакаджей редхата это конечно сильно.
http://secunia.com/product/48/
http://secunia.com/product/1173/
что есть в виндовсе из пропатченого в редхате ?

о скольких дырах МС умолчала ? а сколько спецом раставлено ? вот бля что за synhranyzation agent у меня запускается через пару минут пошле старта выньХР ? что а главное с чем он синхранизует ??
пол инета сидит не под МС. но коде ред, сасер и т.п. распространяет только серверы под виндой, почему в ssh/apache критические дырки есть а эксплоидов/червей нет ? платформа неправильная ?
grsec/SELinux - а что есть у винды ? скрепка из офиса в замен ? я могу нанять специалиста который обучит скрепку защищать мое приложение ?
 

VicTor
14 Dec 2004 11:04 PM
2 PTO:
> одно единственное отличие заключается в том, что МС открыто про это говорит и РАБОТАЕТ над своими ошибками

Ну когда же, когда будет исправлена та самая родовая травма в Excel-е?
 

Alexander S.
14 Dec 2004 11:13 PM
>почему в ssh/apache критические дырки есть а эксплоидов/червей нет?

Вопрос, конечно, интересный. Вы спросите тех хозяев Апачевых веб-серверов, которых недавно взломали чтобы поместить эксплоит IFRAME для заражения IE.

>пол инета сидит не под МС.

54% корпоративного американского Инета сидит под IIS/Windows.
21% корпоративного американского Инета сидит под Apache.
13% - Netscape Enterprise
12% - прочие

И какие такие трудности в последнее время были у 54% американского инета измученного IIS/Windows, расскажите-ка нам? От каких таких дыр они страдают ежедневно, и не далее как вчера?
 

случайный имя
14 Dec 2004 11:14 PM
2geor:

от этого количество багов уменьшается, если разделить количество багов на количество редакторов? :)

А что такое "synhranyzation agent"? Может в хелп (это аналог ман, если не знаете) посмотреть? :)
 

geor
14 Dec 2004 11:48 PM
2Alexander S.

1. цифры лажа. корпоративный ИТ - это SAP, Oracle и PeopleSoft, а это совсем не виндовс. крупнейший хостинг это не виндовс, крупнейшие инет ресурсы - yahoo, amazon и т.п. тоже маловато виндовса.
2. корпоративный инет погоду не делает, давайте домены/сервера считать.
3. не знаю на счет американского, а вот азиатский курил бамбук пару дней во время сламера.

2случайный имя
на F1 у меня скрепка вылазит :) она не вкурсе ...

2all
так что у нас с дырявостью, давайте повнимательней посчитаем дыры в редхате:
Red Hat update for openmotif
Red Hat update for libxml2
Red Hat update for imagemagick
Red Hat update for squid
Red Hat update for mysql
Red Hat update for ruby
Red Hat update for mc
Red Hat update for php

^^^
ну и что из этого есть в виндовсе ? зато как удобно рассказывать о сотнях критических ошибках в линуксе, а рассказывать нада ...
к стате о рассказах, класно :

"и эти люди обижаются на МС с его ГедЗеФактс... ну конечно, там же факты, аналитика, методика подробным образом расписаны."

"да если бы хваленый МСовский маркетинг про это на каждом углу рассказывал, дык нет ведь..."

---
ГедЗеФактс это наверно вершина МС маркетинга :)
 

geor
15 Dec 2004 12:00 AM
на счет лапши о фактз новел помоему достойно ответила:
http://www.novell.com/linux/truth/index.html?sourceidint=ho mepage_announcement1
 

geor
15 Dec 2004 12:02 AM
Vulnerability
CLAIM: Linux and OSS are just as vulnerable to security attacks and breaches as proprietary platforms.
FACTS:

* The Evans Data Summer 2004 Linux Development Survey shows that:
* 92 percent of respondents have never had their Linux system infected with a virus.
* Fewer than 7 percent said they had been the victims of three of more hacker intrusions. Only 22 percent of Linux developers said that their systems had been hacked. [Of those, almost a quarter of cases (23 percent) involved unauthorized intrusion initiated by companies' employees.]
* 25 percent of developers believe that the Linux operating system has the best innate security.
* A similar Evans survey last spring found that nearly 60 percent of non-Linux developers admitted they had been victimized by security breaches; 32 percent had been hit three or more times.
* SUSE LINUX Enterprise Server 9 contains all the components required for compliance with the Common Criteria Evaluation CAPP/EAL 4+, improving on the top-rated CAPP/EAL 3+ certification achieved in version 8.
 

Alexander S.
15 Dec 2004 12:08 AM
2 geor,

Ну ладно, буду точнее выражовываться:) в будущем:

>пол инета сидит не под МС.

54% корпоративных американских веб-сайтов сидят под IIS/Windows.
21% корпоративных американских веб-сайтов сидят под Apache.
13% - Netscape Enterprise.
12% - прочие.

>крупнейший хостинг это не виндовс, крупнейшие инет ресурсы - yahoo, amazon и т.п. тоже маловато виндовса.

Тут кто-то уже упоминал про взлом Амазона, да не РТО ли?:) Так что вы поосторожнее.
Да и насчёт маловато- это ваше личное впечатление, или фактами подтвердите? Скажем, возьмёте тысячу крупнейших фирм США и посмотрите, сколько там виндовса веб-серверами рулит?

>а вот азиатский курил бамбук пару дней во время сламера.

С той поры прошло немало времени... Вы чего-нить новенького дайте.:)

>на F1 у меня скрепка вылазит :) она не вкурсе ...

А вы, вы лично в курсе, где в Windows 2000/XP находится Help? Или по принципу "Windows в упор не знаю, но критикую".

Подсказка: Start/Help, набрать слово Synchronization

>так что у нас с дырявостью, давайте повнимательней посчитаем дыры в редхате:

А что же вы imlib упустили? А kernel patch на днях вышедший как-то вами не упомянут? Вы считайте, считайте.:)
 

Alexander S.
15 Dec 2004 12:16 AM
>92 percent of respondents have never had their Linux system infected with a virus.

Линуксовых вирусов едва ли десяток наберётся, верно? И они успешно заразили 8% юзеров???

>Only 22 percent of Linux developers said that their systems had been hacked.

"Only"-???

Представляю себе: "Исследование обнаружило, что Линукс- надёжная система. Только 22% его юзеров было хакнуто."

"nearly 60 percent of non-Linux developers admitted they had been victimized"

Вот-вот, только по сравнению с Windows есть чем Линуксу гордиться.

А если выкинуть Windows на помойку, то ваша супернадёжная ОС позволяет всего десятку вирусов заразить 8% юзеров (а если вирусов будет 100,000?), и всего лишь каждый пятый юзер этой супернадёжной ОС будет хакнут.

Линукс- рулёз!
 

A
15 Dec 2004 12:34 AM
2 Alexander S.:

> Линуксовых вирусов едва ли десяток наберётся, верно?

Каспер знает больше. То ли порядка 50, то ли 150 - не помню уже.

> А если выкинуть Windows на помойку, то ваша супернадёжная ОС позволяет всего десятку
> вирусов заразить 8% юзеров

Конечно. Никто же себе не ставит антивирей. Разве что защитить win-пользователей - на транзитных серверах трафик шманать.
В то же время под win их имеется много, все ставят и всё равно отхватывают периодически.

> Линукс- рулёз!

Еще одним приверженцем больше :)
 

geor
15 Dec 2004 12:38 AM
>Вы считайте, считайте.:)

так я cосчитал - они есть, но их в разы меньше чем виндовс2003.
 

geor
15 Dec 2004 12:46 AM
2Alexander S.

вы похоже не понимаете природу вирусов по линь - это разновидность эстонских вирусов, которые сами распростронятся не могут и просят ему помочь.

 

domician
15 Dec 2004 3:44 AM
2 PTO

помните был такой вопрос - а можно ли в линуксе дать полномочия юзеру только на запуск/останов конкретного демона... ну еще пример про вебплощадку вы давали - чтоб можно было пускать только Апач и постгрескл... мне сказали, через setfacl в freebsd
можно, даже строчку привели в пример

setfacl -m
u:webmaster:rx /usr/local/sbin/apachectl /usr/local/sbin/httpd

оно?

кстати, а чем sudo не устраивает? или может не в нем дело, а сервис в линуксе можно пускать только от рута? или тоже под разными учетными записями как в NT

про разграничение доступа к разным разделам/параметрам конфигов в /etc для каждого пользователя (типа как к веткам реестра) - не понимают люди, зачем... просят конкретных примеров дать, когда это действительно надо... говорят, вполне достаточно, что можно дать доступ к конфигам DNS, SQUID или XFree целиком

к вам вопрос - а SAMBA без PAM по каким протоколам клиентов аутентифицирует... допустим не поднят PAM на линукс/бсд машине - что тогда с аутентификацией в САМБА (для lin и win клиентов)... и если поднят - по дефолту САМБА клиентов как аутентифицирует... и обратный вопрос - а в Win2000/2003 сервере есть механизм, аналогичный PAM ? или тока в старых NT NTLM v.2, в новых Kerberos в домене... неплохо было бы иметь общий центр аутентификации с любым подключаемым протоколом, как в никсах

SAMBA 3 может работать как AD Domain Member... а как AD Domain Controller точно не может? только как контроллер доменов NT4? т.е. никак нельзя послать нафиг сервер с Win2k/2003 AD DC и заменить на Linux/SAMBA ? или все равно придется ставить win-сервер как домен-контроллер АД, а к нему только можно прицепить самбу в роли домен-мембер АД... просто мне тут один товарищ с ликованием сказал, что все мол кончилось время Active Directory только на виндовых серверах

еще вопрос - а как на Win2000/XP Pro выставить ограничения по памяти и времени процессора для каждого юзера... или это только на сервере можно... и про квоту на диск - в линуксе это сделано так, что не только объем диска можно квотировать, но и кол-во файлов... насколько я знаю, в NT штатными средствами последнее не получается

на лоре в который уже раз прочитал аргумент "даже MS в корпоративной сети не может без никсов обойтись"... вы из редмонда вернулись, можно подробностей, где там у МСа кроме вин-серверов какие никсы стоят, и какие задачи решают... только Sun Solaris или еще кто? основная нагрузка на сане или на вин-серверах... почему вообще сан нельзя убрать и все решаемые на нем задачи переложить на виндовс (хотя бы в целях рекламы)

вот статистика неткрафта была... что более 50% веб-серверов в мире на Windows... это ведь год назад публиковалось, сейчас ситуация может поменялась? а какое соотношение не только для веб, но и прочих серверов (почта, базы данных, сервера терминалов и т.д.)... а если взять вообще глобальную картину - любые сервера - чего больше получится, никсов или виндов? есть такая статистика?

вы говорили, что люди, стоящие у истоков юникса, счас с докладами выступают, что открытый код по своей природе не менее безопасен, чем закрытый... можно ссылку? хочется четких аргументов и сравнений узнать

на форум КГ не забудьте заглянуть

 

A
15 Dec 2004 5:05 AM
2 domician:

> или может не в нем дело, а сервис в линуксе можно пускать
> только от рута?

Существует четкое ядерное разделение по портам - для прослушивания портов 1..1024 нужно иметь уровень привилегий root. Не обязательно быть рутом, так что sudo вполне поможет.
Если есть желание, это дело можно изменить в самом ядре - исходники-то имеются.

А относительно глубокого перелопачивания прав на всё и вся нужно смотреть в сторону набора патчей RSBak. Но смотреть нужно аккуратно - неровен час и у рута никаких прав не останется, если чего не так настроить.

> а SAMBA без PAM по каким протоколам клиентов аутентифицирует...

Самба не пользуется PAM для аутентификации. Если win-пользователи заведены локально, то она хранит их пароли в своем собственом файле в коде LanMan (довольно древняя разработака MS с недостатками в шифровании). Кажись, последняя версия 2, которая появилась в NT4 и в отключенном виде в Win95. И если мне не изменяет память, в ней так и осталась проблема стойкости паролей длиной до 7 символов. Хотя могу и ошибаться.

Для использования Kerberos нужно соответствующим образом построить smb.conf.

Для сопоставления локальных пользователей и локальной базы win-пользователей использует свой мапинг (типа, win-пользователь "Вася Пупкин" соответствует локальному пользователю vasya, который по ходу дела используется еще и в качестве почтового ящика) и системные вызовы, типа getpwnam (получение UID по имени). Последний кроме локальной базы (/etc/passwd) умеет лазить по всяким LDAP, NIS и т.д.

> просто мне тут один товарищ с ликованием сказал, что все мол
> кончилось время Active Directory только на виндовых серверах

Кончилось или нет, но в samba 4.0 обещают полную поддержку AD, в том числе и в качестве контроллера домена. Пока роль контроллера теоретически можно орагнизовать pol-ами, если не лениво реестр ковырять. На практике не пробовал - таки лениво :)

> вы из редмонда вернулись, можно подробностей, где там у МСа
> кроме вин-серверов какие никсы стоят

Гм... У них все серверы вот так вот прямо на улице и стоят. И над каждым большой плакат с названием и версией ОС. Чтобы еще на подъезде всем видно было :)
Сам подумай - какая нормальная контора к себе в серверную пустит левых людей ? :)
 

случайный имя
15 Dec 2004 8:21 AM
2geor:

вы уж там определитесь, где это agent. А то даже не понятно где. :)
 

Михаил Елашкин - imhoelashkin.com
15 Dec 2004 9:50 AM
2 PTO
>Не, я в маркетинге ну ничего не понимаю - я только учусь, вот специально купил Коттлера почитать на досуге...

C ума сошел? У нас плюнуть некуда - одни маркетологи кругом. Все Коттлера читали. Слова умные говорят - фокус группы, глубинные интервью... вот только как были идиотами, так и остались ими, только с корочками и словами "умными". Ни опыта, ни понимания рынка - только начитанность :(
Так что ни читай ничего такого. Индивидуальность рулез, а она, хоть тебя переодически заносит нафиг, у тебя есть :)
Я сегодня у вас буду - зайду. Отниму Коттлера и по голове настучу тому, кто тебя надоумил всякую фигню читать :)
 

dem
15 Dec 2004 10:46 AM
2Михаил Елашкин Блин - пришел лесник и всех разогнал :)
 

xacid
15 Dec 2004 10:54 AM
не верьте Торвальдсу и Сталлману... верьте пто и алексу... уж они то вас не обманут;)....
Коттлера кстати читать действительно бесполезно - его труд только как справочник использовать есть смысл (имхо)
почитать лучше что то типа Траута... (имхо)
 

zenith
15 Dec 2004 12:50 PM
2Alexandr S
>А что же вы imlib упустили? А kernel patch на днях вышедший как-то вами не упомянут? Вы считайте, считайте.:)

Ну упустил и что? Смысл то не в этом, ты же это прекрасно понимаешь (или не понимаешь?).
 

Сергей М
15 Dec 2004 2:15 PM
> Вопрос, конечно, интересный. Вы спросите тех хозяев Апачевых
> веб-серверов, которых недавно взломали чтобы поместить
> эксплоит IFRAME для заражения IE.
Вот вот, это при том что 70 % юзеров сидит на IE, таким образом, мишень атаки не *никс, а M$ (прошу к цифре не придираться, но что-то около того).

Кончайте балаганить, мужики (спором это назвать сложно). Любая ОС не более уязвима чем туп ее администратор. Да, и там, и там время от времени обнаруживаются дыры. Вопрос не в том, сколько их. Вопрос в том, как быстро админ патчит/апдейтит систему. Вопрос в том, что админ это не тот кто умеет достать из коробочки сидюк с W[23]KS и его установить, ответив на вопросы мастера, а в том, кто его может после этого правильно настроить. Где-то ранее упоминалось про 15к параметров SELinux'а. Боюсь, что в виндах не меньше параметров, так или иначе влияющих на безопасность системы.

А свои преимущества есть и будут и у Линукса и у MS (про остальные *никсы я не говорю, так как статья была не про них).
 

geor
15 Dec 2004 2:40 PM
> Вот вот, это при том что 70 % юзеров сидит на IE, таким образом, мишень атаки не *никс, а M$ (прошу к цифре не придираться, но что-то около того).

>50% веб серверов работают не на МС. они никогда не рассылали червей.
>70% sql серверов работают не на МС. они никогда не рассылали червей.

мне не понятно почему они не становятся "мишень атаки" ?
 

Геморрой
15 Dec 2004 2:42 PM
Дыра одна и везде - прокладка между монитором и клавиатурой. Одно дело, что в МС приходится резать, а под никсами - разрешать. Последнее сложнее. А если порыть настройки, то у обоих их примерно одинаково.
.
А по большому счету, Лин - набор кубиков, Вынь - готовое изделие. Если кубики не нужны, то вполне ничего.
.
И в конце, никак не представлб чайника, шурующего в службах ХР (даже Хоум) и реестре. А после такой шуровки винда вполне себе ничего крутится.
 

xfs
15 Dec 2004 3:15 PM
2zenith: да все он понимает. признаться только стыдно ему :)
 

PTO - ptokgb.ru
15 Dec 2004 3:27 PM
2 AD: а почему так получается? имхо исключительно из-за плохой работы ПиАра и маркетинга МСа... ну вот почему никто не напечатал новость про взлом и дефейс google-вского сайта?! Кто-нибудь вообще про это слышал из здесь присутствующих? почему пресса не накинулась на google с криками мастдай?

мои высказывания? чем же они ассоциации вызывают? фактами и цифрами?
Easter Egg в продуктах МС запрещены уже много лет. под страхом увольнения без возможности обжаловать... есть процесс, который сие отслеживает - чтобы не было недекларированных возможностей. есть такой процесс/методика/енфорсмент в опенсорсных софтах?

А где я сказал Опенсорс = гну? я там половину как минимум сведений давал не про гнутый софт

2 Simon: сорри, конечно же я не прав - оговорка что называется по-Фрейду... я две книжки купил и читал их вперемежку - John Kotter "Leading Change" и Philip Kotler "Marketing Insights from A to Z: 80 Concepts Every Manager Needs to Know" - собственно и оговорился... респект доктору и лично вам

2 geor: читайте внимательно - там были цифры про "весь МС"... а это тысячи продуктов... даже без игрушек в МСДНе более 400 СДРОМов с их софтом... дистры курят в сторонке

Смотрим на сравнение стека для классической нагрузки на линукс - ЛАМП = Линукс, Апач, МайСКЛ и ПХП... сравниваем сие с Вин2003+ИИС6+СКЛ2000 (забудем на минутку, что функционал последней связки скажем так сильно расширен, но для веб-приложений можно про это забыть) - 16 уязвимостей в РедХат/ЛАМП и 3 в виндах... из которых

"о скольких дырах МС умолчала ?"

может у вас есть цифры?

"а сколько спецом раставлено ?"

а вот про это пусть расскажет наше ФСБ, которое сейчас исходный код виндов изучает

"вот бля что за synhranyzation agent у меня запускается через пару минут пошле старта выньХР ? что а главное с чем он синхранизует ?? "

Ругание матом это типа чтоб казаться взрослее? это наверное руткит работает с линукса портанутый

"пол инета сидит не под МС."

брехня. Если смотреть уникальные хосты, а не сайтики вась пупкиных хостящиеся тысячами на одном линукс-боксе, а физические сервера, то под виндами их чуть более половины - см. отчет неткрафта (он за бабло правда, а старый можно найти)

"но коде ред, сасер и т.п. распространяет только серверы под виндой, "

дык потому что они для винды и написаны :)
Может вспомним про черьвь Морриса?

почему в ssh/apache критические дырки есть а эксплоидов/червей нет?

!!! вы офигели !!! эксплоитов нет... почему же тогда на сайте, куда я приводил ссылку ежедневно до 90% взломанных указываются апачи, а вот ссылка на любимый неткрафт http://news.netcraft.com/archives/2003/11/03/vulnerable_vers ions_of_openssl_apparently_still_widely_deployed_on_commerce _sites.html - оппа, почти половина ssh сайтов не поставили заплатку 1.5 года и уязвимы... к вопросу о рулезности админов линукса... как так червей нет? есть малеха

"grsec/SELinux - а что есть у винды ?"

см. ниже про это... п.п.2

"я могу нанять специалиста который обучит скрепку защищать мое приложение ?"

я могу нанять специалиста, который настроет мне grsec/SELinux? какой сертификат я должен у него спросить на входе? сколько таких специалистов в мире/России?
 

PTO - ptokgb.ru
15 Dec 2004 3:28 PM
2 VicTor: это уже ошибка системы безопасности?

ну да ладно, я вот тут рекурсию назад сделал... вот тут вот я цитирую МС:

24 ноября, 2004, 18:56 - PTO
...
If the behavior remains uncorrected, only one problem occurs: • The WEEKDAY function returns incorrect values for dates before March 1, 1900. Because most users do not use dates before March 1, 1900, this problem is rare.

где говориться, что до 1 марта не работает правильно

потом вы предлагаете сделать кучу изменений, чтобы:

"27 ноября, 2004, 13:26 - VicTor
...
Неправда. Это коснётся только тех таблиц, в которых используются даты ранее 01/03/1900, а это достаточно редкий случай. "

не работало все до 1 марта... и нафига столько гиммора чтобы получить тот же результат? стирайте Досей!

2 geor:

1. цифры лажа. корпоративный ИТ - это SAP, Oracle и PeopleSoft, а это совсем не виндовс. крупнейший хостинг это не виндовс, крупнейшие инет ресурсы - yahoo, amazon и т.п. тоже маловато виндовса.

Брехня, более половины SAPа установлено на виндах. Оракл и ПиплСофт цифр не публикуют, но судя по росту рынка СУБД для Виндов и падению оного для других платформ я думаю и там доля немаленькая.

Хехе, ну давайте тогда уж www.msn.com, www.msnbc.com, www.bn.com, www.hotmail.com приведем - типа тож не маленькие сайты по размерам... и там ВИНДЫ крутятся... лично ходил на экскурсию в redwest campus туда где датацентр MSNа стоит - смотрел чего и как там... винды почему-то везде как класс

2. корпоративный инет погоду не делает, давайте домены/сервера считать.

давайте сервера - неткрафт их посчитал - среди серверов стоящих наружу в интернет более половины - винды. Если посмотреть на интранет решения (т.е. то, что внутри корпораций работает), то ИИС будет подавляющим веб-сервером с самой большой долей _рынка_, т.е. ДЕНЕГ

3. не знаю на счет американского, а вот азиатский курил бамбук пару дней во время сламера.

Весь мировой интернет курил недельку после червяка RTMа... напомнить для какой ОС он был сделан? а рассказать какое опенсорсное ПО он поражал?

"на F1 у меня скрепка вылазит :) она не вкурсе ... "

о, вы работаете в ОС "Ворд 97"... поздравляю

"ну и что из этого есть в виндовсе ? зато как удобно рассказывать о сотнях критических ошибках в линуксе, а рассказывать нада ... "

дык там цифирки я приводил для ВСЕХ продуктов МС... а он перекрывает усе, что сделал редхад и Ко в разы по объему кода, функционала и т.п.... по всему, окромя кол-ва ошибок

"на счет лапши о фактз новел помоему достойно ответила:
http://www.novell.com/linux/truth/index.html?sourceidint=ho mepage_announcement1 "

О! очень надеялся, что про это скажут и как всегда сядут в лужу. Ну ок, Новел известный гонитель ФУДа... ему правда в бизнесе это ну ни разу не помогает, но любители они это делать - стиль у них такой

Перед тем как мы перейдем к подробному разбору ФУДа от Новелла хочу убедиться - вы действительно прочитали что они там пишут? можете подписаться под данным "ответом"? или как всегда - слышал рассказы в курилке - сказали что круто ответили
 

PTO - ptokgb.ru
15 Dec 2004 3:28 PM
2 domician: у меня подряд было 2 длительных коммандировки, мне просто некогда ходить еще туда и там отвечать на вопросы линурасов про виндоуз, которые сыпятся из них как из рога изобилия после того, как их спросишь "а как в линуксе сделать это". Они все пытаются доказать, что линукс хорош пытаясь рассказать каков плох виндоуз... дружить вместе против это всегда проще

Я в каждый билдинг не заходил и к каждому столу не приглядывался - был на экскурсии в MSN Datacenter (охрана там мама не болуйся) - винды там и юниксами, солярисами, линуксами и АС/400 не пахнет.

статистика есть - ее неткрафт продает за бабло

http://cm.bell-labs.com/who/ken/trust.html - тут доклад Кена Томпсона "Reflections on Trusting Trust"

2 imho@elashkin.com: дык Миш, я вот тоже сижу на митинге, докладает какое-нить агенство и ну сыпать терминами типа "фокус группа, глубинное интервью да ATL с BTLем", а я вот слов не понимаю и не могу резко встать и сказать громко bullshit... т.е. нутром чувствую, что дурят меня, а доказать не зная материала не могу - приходится погружаться в терминологию :)
Ээээээ... я бы тебе не советовал ей стучать по голове книжкой, да и вообще чем-либо :)

2 xacid: ну дык, у меня не эмоции, а цифры. Траута говорят очень любит маркетинг ИБМа... вы не оттуда?

2 Сергей М: "Да, и там, и там время от времени обнаруживаются дыры. Вопрос не в том, сколько их"... дык действительно не в том вопрос в принципе. Но вопрос статьи, которую мы тут дружно обсуждаем это качество исходного кода - так вот цифры показывают, что код линукса год от года становится ХУЖЕ, т.к. кол-во уязвимостей в нем растет год от года, а код виндов становится ЛУЧШЕ, т.к. аналогичный параметр в нем падает. Если вы готовы предложить какой-либо другой критерий оценки качества кода - я с удовольствием его рассмотрю и проанализирую.
Меня волнует качество кода, который генерит народ - это качество в линуксе и Ко падает и никакие миллионы глаз не спасают ибо принято "написать фиг знает как, выбросить на сорсфордж и молиться, что кто-то подхватит и все отладит"... как показывает практика сие не работает - осюда бардак при разработке, разбухающий код ядра в невероятных размерах, гигантские кластера кода, который в ближайшее время грозит стать неуправляемым даже если у Торвальдса будет по 120 часов в сутки на его управление.

2 geor: "мне не понятно почему они не становятся "мишень атаки" ?"
то что Винды самая атакуемая ОС я спорить не буду - только вот она не самая успешно атакуемая - это как раз любимый народом линукс - см. ссылку ниже на сайт со статистикой успешных взломов сайтов на разных ОС...
 

geor
15 Dec 2004 3:54 PM
бля куча текста и ни одного аргумента. итак у нас есть конкретные дыры на
http://secunia.com/product/48/
http://secunia.com/product/1173/

тут только дыры винды и дыры линуха + дыры пакетов поставляемых редхатом. я не знаю что такое LAMP у меня оракл. будем считать или опять сливать пэйдждауны булшита ?
 

Сергей М
15 Dec 2004 4:26 PM
2 РТО:
Хорошо. Допек.

Стоит у меня дома 2К на машине с Voodo Banshee (дрова от МС).
Еще там стояла мультипортовка на 6ть комов от NetMos'а. Все было хорошо, все нормально работало. Но приспичило мне поставить 9й DirectX (единственная весчь, которую я ранее не апдейтил за ненадобностью). Перезагружаюсь, и на тебе - не успел залогинится и в синий экран. Ну думаю, приплыл. Видяху менять надо (раннее я имел с ней проблемы под NT4S - в момент скроллинга окна IE [и только IE!!!] мышью за движок на скролл-баре машина выпадала в синий экран). Притащил с работы Geforce2, все ж поновее - та же фигня. Стал выдергивать поочередно платы, и дошел до NetMos - после его удаления машина заработала. Так вот. Хрен кто будет заниматься моей проблемой. Даже если бы у меня была лицензионная поддержка, МС послал бы меня к вендору. Вендор послал бы обратно. А 6 доп. компортов мне по горло нужны (специфика работы). Имея исходники ядра и дров я мог бы легко поправить ситуацию (что уже не раз делал в различных ситуациях). А так - сосу лапу.
Вот тебе и повышающееся год от года какчество.

ПыСы. Анализ посмертного дампа ни к чему не привел - просто ошибка в глубинах ядра.
 

Well-wisher
15 Dec 2004 4:54 PM
2 geor Ну считайте за 2004-й год: 83 у Линукса и 23 у Виндов :)
Голые винды 2003 - это
1. Сервер каталога, аналога которому в дистах линукса и близко нету
2. Файл-принт сервер
3. Веб сервер с ССЛ, АСП, АСП.НЕТ
4. Терминальный сервер
5. Куча сетевых сервисов: ДНС, ДХЦП, роутинг, пакетный фильтр, ВИНС, радиус, диал-уп, ВПН, служба сертификатов и пр. и пр.
6. Практически SQL сервер правда с ограничениями по количеству запросов и размеру базы

Посчитайте по вашей ссылке бaги Самбы, Апаче, Kerberos, SSL, XFree, ПХП, добавьте дыры в ядре, в разных библиотеках, которых под Виндами естественно тоже не меряно, в Мозилле (под виндами же в ИЕ считали). Ну и получается, что дыр в Ред Хате больше как не крути.
 

Не понял
15 Dec 2004 5:00 PM
А спорим, что в моём "Hello, World!" ошибок ещё меньше, чем в лялихе?
 

vas
15 Dec 2004 5:11 PM
2Сергей М
Если не успел залогиниться - Last Known Good Configuration - и вы восстановили бы систему в первоначальном виде(откатываются ВСЕ изменения внесенные в систему за последний сеанс). Только не надо говорить, что эта штука не работает.
 

PTO - ptokgb.ru
15 Dec 2004 5:12 PM
2 geor: ну понятно, когда возразить нечего, начинают говорить про "нет аргументов" и ругаться матом... не волнуйтесь - мы уже убедились, что вы баальшой малшик и умеете ругаться матом. осталось немного культурнее стать, чтоб с вами было можно разговаривать.

Итак. смотрим на http://secunia.com/product/1174/ - типа там ентерпрайз и тут ентерпрайз - имхо так справедливее... но даже и не суть как важно сие: итого за 2 последних года имеем 36 адвайзорис

RedHat Enterprise Linux AS 2.1 имеет 172
итак давайте ссылки на примочки, в которых есть баги в рх и аналога функциональных таких примочек нет в виндах:
1. руби - есть скриптовые языки в виндах
2. кернел для итаниума - есть в виндах
3. еще один кернел - есть в виндах
4. ncompress - есть аналог в виндах
5. апач/мод_ссл - есть аналог
6. имлиб - есть аналог
7. имеджмейджик - есть аналог
8. опенмотиф - есть аналог
9. самба - есть аналог
10. либхмл - есть аналог
11. хпдф - нету
12. либтифф - есть
13. майскл - есть МСДЕ в составе виндов
14. еще раз имеджмейджик - есть
15. сквид - нету.
16. сасл цирус - есть аналог
17. ХФри - есть
18. еще раз самба - есть
19. кде - есть аналог
20. еще раз руби - есть
21. мозилла - есть
22. пиксбуф кутк - есть
23. имлиб еще раз - есть
24. мц - нету
25. мод ссл - есть
26. ЛХА архивация - нету, есть зип
27. рсинк - есть
28. керберос - есть
29. куте - есть
30. семи - нету
31. кернел снова - есть
32. пам - есть аналог
33. гном вфс - есть
34. езреал - есть нетмонитор
35. либпнг - есть
36. кулибц - есть
37. снова мазилла - есть
38. снова кернел - есть
39. снова самба - есть
40. пхп - есть асп.нет
41. снова кернел - есть..

уффф... хватит? уже все остальное больше МСовских.
Еще раз - я говорю про ФУНКЦИОНАЛЬНЫЕ АНАЛОГИ... т.е. если бага в графической библиотеке и в виндах есть графическая библиотека, которая делает тоже самое - то это проблемы линукса, что у них есть 100 разных библиотек, каждая из которых баглива по самое нихочу.

Оракл... вы уже все патчи поставили: http://www.oracle.com/technology/deploy/security/alerts.htm давайте сравним сколько пакетов нужно поставить на ЕАС2.1+ОраклХ и на ВС2003+СКЛ2000? и потом уже сколько уязвимостей было в такой связке за последние 2 года... а лучше отдельно по годам, чтобы понять каков тренд качества кода, т.е. улучшилось или ухудшилось в вашем царстве ситуация с миллионами глаз...

Можно поинтересоваться какие такие вирусы рассылают 11923566 хостов с ИИСом? Вирусы рассылают _рабочие станции_... кол-во рабочих станций с линуксом в интернет находится в пределах статистической погрешности.

вот сюда еще сходите http://www.netcraft.com/Survey/index-200109.html
The survey shows 49.6% of the computers running the web are Windows based. As some of the 3% of computers not identified by the Netcraft operating system detector will in reality be Windows systems, despite some uncertainty due to the survey's error margins, it would be fair to say half of public Web Servers world-wide are run on Microsoft operating systems

они настолько испугались сего результата, что более бесплатно его не выкладывают... только за бабло свежие результаты

2 Сергей М: minidump мне на мыло... _ваш_ анализ меня не интересует ну ни разу. я хочу _лично_ посмотреть кто виноват.
 

geor
15 Dec 2004 5:26 PM
1. самба, пхп, керберос, апач ... а почему именно их вы взяли ? почему не java вместо пхп, почему самба а не новелевские прибомбасы , tomcat а не apache ?

2. а почему я должен считать то чего нет в моем редхате (котрый крутит оракл), в моем редхате нет ничного из того что стоит в "Голые винды 2003" ?
 

geor
15 Dec 2004 5:32 PM
вот, давайте посчитаем сколько багов надо было патчить в RH2.1 который крутит оракл и все встанет на свои места. желательно вместе с "Where"

ЗЫ. если хотите можно отдельно и оракловые заодно посчитать.
 

geor
15 Dec 2004 5:34 PM
инфо по вынь как я понимаю можем брать целиком или что-то можно откинуть и для виндовса ?
 

Дима
15 Dec 2004 5:35 PM
2 PTO:

Получение пользы от форума -- 50 баксов штрафа...
 

PTO - ptokgb.ru
15 Dec 2004 5:38 PM
2 geor: ну давайте посчитаем - я ставлю ВС2003 + СКЛ2000... все из коробки + отключаю что не нужно... аналогично вы - редхат + оракл (какой интересно)

2 Дима: в пользу кого штраф? :)
 

Дима
15 Dec 2004 5:41 PM
2 PTO: Мммм... В фонд помощи программистам-трезвенникам. ;-)
 

Дима
15 Dec 2004 5:43 PM
Может, там прерывания пересеклись? Хотя странно как-то...
 

PTO - ptokgb.ru
15 Dec 2004 5:45 PM
2 Дима: я абсолютный трезвенник - могу справку принести - только скажите куда подъехать за 50ю баксами :)
 

Сергей М
15 Dec 2004 5:53 PM
2 vas:
Уважаемый vas. Я не чайник, и знаю что такое LKGC. Действует она, к сожалению, не всегда. И уж точно не в случае апдейта DirectX, так как вся ее прелесть только в том, что она не запускает те дрова и сервисы, которые были включены с момента последнего успешного шатдауна. Апдейт ДиректХ же ничего нового не ставил и не включал с этой точки зрения. Он просто заменил одни com-объекты и соответствующие им библиотеки другими что делается в ключе реестра HKLM\Software\....
LKGC - это просто выбор одного из трех(для сервера)(двух для воркстешна) (почти)эквивалентных разделов реестра HKLM\System\ControlSet[012]. Вот и всё. короче, изучайте матчасть.

 

LinFan
15 Dec 2004 5:54 PM
vas: Вы _серьезно_ уверены, в 100% гарантии Last Known Good Configuration ? А знаете че бывает, когда оно не срабатывает? Черный экран (почти kernel panic :) с лого Винды и потом рестарт. И так до посинения ;) И ненадо говорить, что такого не бывает :)
 

PTO - ptokgb.ru
15 Dec 2004 5:56 PM
2 Сергей М: minidamp уже выслали в мою сторону?

2 LinFan: нет, 100% гарантию дает только страховой полис. Черный экран, синий экран и все остальное довольно просто диагностируется и лечится. нужно просто знать как это делать. для этого нужно читать книжки и/или ходить на лекции гуру в этом вопросе.
 

Сергей М
15 Dec 2004 5:57 PM
2 PTO:
>> 2 Сергей М: minidump мне на мыло
если ситуация воспроизводима без восстановления "истории процесса", то вышлю
 

Сергей М
15 Dec 2004 5:59 PM
2 РТО:
Нет, я сейчас на работе. Дома буду только часов в 10 по Москве
 

NoName
15 Dec 2004 6:34 PM
2Сергей М: А ты дрова к мультипортовке от вендора ставил ?

2PTO:
По поводу корней префикса и префаста ты нам сейчас как знаток расскажешь, а мы послушаем. Короче бооойся :)

По поводу сравнения Linux vs. Windows : А почему сравниваешь с RH а не с SuSE ? Потому-что выгодно что в RH дыр больше чем в SuSE ? :)

2 geor: охолонись малЧык, NoWell это одна из самых гнилых контор которые есть в IT, они только судиться умеют так как софт писать давно разучились. Марш читать на гугле про Canopy Group. Когда NoWell Ximian и SuSE прикупил стало понятно что скоро их разработки превратятся в коммерческое дерьмо.
 

Сергей М
15 Dec 2004 7:07 PM
2 NoName:
да. дрова вендоровские. МС-вских нет. Прикол не в том, чьи дрова я к мультипортовке ставил, а в том, что с DirectX 7 всё работало и что в результате апдейта DirectXа с 7го на 9ый система пришла в неработоспособное состояние. Я конечно не защищаю NetMos'совских девелоперов и не говорю, что они для меня эталон программиста (я по известной причине не видел их исходных текстов). Но я подозреваю, что они написали "стандартный" кернел-драйвер без каких бы то ни было выпендрежей и отступлений в сторону - зачем изобретать велосипед, если все нужные API уже есть, кроме собственно работы с устройством!? Кроме того, cериальный драйвер ни сном ни духом "не ведает" что такое DirectX
 

случайный имя
15 Dec 2004 7:19 PM
о, раз уж РТО тут, то спрошу :). Может, он, пользуясь административным ресурсом, узнает :)

Вопрос про Windows Update. В ХР SP2 была сильно расширена функциональность автоапдейта. В частности, есть опция - скачать обновления и проинформировать об этом пользователя. Все работает. За исключением одной вещи - "проинформирования". Точнее, работает частично - иконка в трее появляется, только если текущий пользователь - администратор. А если простой юзер, то "проинформирование" оного (пользователя) осуществляется путем чтения ньюс-серверов (пример www.neowin.net). Что сводит на нет все премуищества такого автоапдейта.

Возникает дилемма. Либо администратор и с апдейтами, либо не администратор и без апдейтов (я, так и быть, промолчу про то, что Windows Update версии 5 перестал работать через RunAs. Что отлично делал Windows Update версии 4. Все обещания в период бетатестирования исправить это так и остались обещаниями...)
 

geor
15 Dec 2004 7:20 PM
2PTO: ну давайте посчитаем - я ставлю ВС2003 + СКЛ2000... все из коробки + отключаю что не нужно... аналогично вы - редхат + оракл (какой интересно)
---
это как ? научите вырезать ie, outlook и т.п. только не иконки удалить, как я нашел в винXP. и можно начинать подсчет.

охолонись малЧык, NoWell это одна из самых гнилых контор которые есть в IT, они только судиться умеют так как софт писать давно разучились. Марш читать на гугле про Canopy Group. Когда NoWell Ximian и SuSE прикупил стало понятно что скоро их разработки превратятся в коммерческое дерьмо
---

ну про громкое имя noname мы все слышали и безусловно согласны что для ИТ noname сделал гораздо больше чем чем novell :)
 

vas
15 Dec 2004 8:29 PM
2Сергей М
Если Вы знаете что такое LKGC- а сюдя по посту где-то что-то слышали, тогда HKLM\System\ControlSet[012](как вы выразились) выбор одного из этих кустов реестра и определяет какие драйвера, dll, сом и т.д. грузятся системой и с какими параметрами. Любая программа? которая имеет WHQL Certified устанавливает себя таким образом, что бы имелась возможность отката. Если возможности нет, то на это имеется соответствующее предупреждение.
Но что бы не быть голословным я не пожалел времени и установил dx9c на notebook с dx81. LKGC откатил его как и положено.
Именно так рекомендуется откатывать драйвера.
Поэтому батенька учите матчасть сами или лучше экзамены 70-210/70-270.
 

PTO - ptokgb.ru
15 Dec 2004 9:25 PM
2 NoName: не, я жду откровений сначала с вашей стороны... потом я расскажу свою историю :)
ой боюсь, боюсь, боюсь

2 случайный имя: ну типа брось вопросик на мыло - сейчас мало времени ссылки искать на руководства к действию

2 geor: а нафиг мне там ИЕ, Оутлук-то да на сервере? отключу все нах да и все. там и РПЦ не будет - один порт, который ждет клиента СКЛного...
 

Alexander S.
15 Dec 2004 9:40 PM
2 geor,

>вы похоже не понимаете природу вирусов по линь -

А вы, похоже, не понимаете, что для ОС, на которой пока преимущественно работают админы да программисты, 8% зараженных машин- большая сила.
 

Alexander S.
15 Dec 2004 9:58 PM
2 A,

>Конечно. Никто же себе [в Линуксе] не ставит антивирей... В то же время под win их имеется много, все ставят и всё равно отхватывают периодически.

Ну ставят-то не все, и "отхватывают" далеко не все. Если вы не в состоянии защитить свой или своих родных-друзей-приятелей компы от вирусов, так то ваши проблемы. У меня ваших проблем нет.

А если вы со мной несогласны, то сообщите:

1. Даты массовых заражений Windows-компьютеров, чтобы достоверные источники оценили количество заражённых как минимум в 5% от общего числа юзеров Windows. Были, были такие случаи, но вот на частоту интересно посмотреть.

2. Сколько вирусов массово (>5% заражённых) заражало Windows до того, как они стали распознаваться антивирусами. Это отделит тех юзеров кто пользуют антивирус и заразились от тех, кто не пользует антивирус или не обновляет как положено.

3. Сколько интернет-червей массово (>5% заражённых) проникало в Windows до того, как стали доступны заплатки от них. Это отделит тех юзеров кто патчится и не уберёгся от тех, кто на патчи положил и не обновляет Винду как положено.

+++

И если окажется, что ваш комп заражается намного чаще вышеуказанной статистики- то вы просто юзер хуже среднестатистического.

А если окажется, что компы ваших друзей-родных-знакомых заражаются намного чаще вышеуказанной статистики- то вы просто админ хуже среднего.:)

Ну-ка, фактики в студию.:)
 

Сергей М
16 Dec 2004 12:11 AM
2 PTO: Теперь дела еще безрадостней: комп просто виснет при вклчении карты. Правда, с тех пор несколько фиксов было установлено, так что хрен его знает, что они там пофиксили. А старых дампов к сожалению, не сохранилось.

2 vas:
Наличие сертификата MCSE тем более не дает права делать ошибки:
HKLM\System\ControlSet[012](как я выразился) не куст а подключ.
DirectX не является драйвером стороннего производителя, а стало быть не подлежит сертификации WHQL. Более того, он является компонентом операционной системы ((с) МС) о чем и свидетельствует подпись соответствующим ключем. Сносу или откату на системах ниже чем МЕ и ХР+ не подлежит (у меня 2K). Единственный способ откатиться по рекомендациям самой МС - снос и установка системы с нуля. (см http://support.microsoft.com/default.aspx?scid=kb;en-us;1786 44
http://www.microsoft.com/windows/directx/default.aspx?url=/ windows/directx/productinfo/faq/default.htm)
Если Вы, ставили экспиримент с 2К тогда я снимаю шляпу и одному Богу только известно, почему мне LKGC не помогла тогда (я испробовал тогда всё, в том числе и LKGC в первую очередь).

С уважением, СМ
 

Сергей М
16 Dec 2004 12:42 AM
2РТО:
>> а нафиг мне там ИЕ, Оутлук-то да на сервере? отключу все
>> нах да и все. там и РПЦ не будет - один порт, который
>> ждет клиента СКЛного...
Мне это напоминает требования к компъютеру под управлением NT4S, соответствующему классу C2 по мерикосовским стандартам безопасности. (там было что он должен находиться чуть ли не в сейфовой комнате, без единого сетевого адаптера и желательно отключенным от сети питания)
А теперь без шуток. Отключить ИЕ? Это как это? Я посмотрю на тот комп, на котором сделать "regsvr32 -unregister" для mshtml.dll или shdocvw.dll.
Кроме того если "даже РПЦ не будет - один порт, который ждет клиента СКЛного" значит прощай ADS. И где же тогда все прелести этой прекрасной платформы, в которой куча компонент без дырок и багов, но они никому не нужны? ADS на соседнем компе и между ним и СКУЭЛЬсервером IPSec тунель? Но тогда этот соседний комп подвержен проблемам, связанным с РПЦ. Че-то как-то не вяжется.
 

A
16 Dec 2004 1:46 AM
> Ну ставят-то не все, и "отхватывают" далеко не все.

Ставят-то как раз многие. Зачастую одновременно каспера, вэба и нортона. А потом жалуются, что машину колбасит :)

> Если вы не в состоянии защитить свой или своих родных-друзей-приятелей компы от вирусов,
> так то ваши проблемы. У меня ваших проблем нет.

Если бы не последняя фраза - промолчал бы.
Нет у меня таких проблем. Сегодня кто-то пытался проломиться вирями к нам в сеть. Так они дружно отдыхали на транзитном сервере и складывались ко мне на почту. Никто внутри сети про это так и не узнал :)

> Это отделит тех юзеров кто пользуют антивирус и заразились от тех, кто не пользует
> антивирус или не обновляет как положено.

Так же это отделит сами антивири. Период появвления базы под разные вири в разных антивирях колеблется от одного часа до двух дней.

> И если окажется, что ваш комп заражается намного чаще вышеуказанной статистики- то вы
> просто юзер хуже среднестатистического.

Как раз таки окажется, что это юзер самый что ни на есть среднестатистический. Видать, давно Вы не занимались поддержкой в офисе. Со времен начала 90-х вопросы и отношение к технике не изменилось - всё те же "почему у меня на мышка много кнопок и она не ездит, а на клавиатуре всего три кнопки и она катается по всему столу" :)

> Ну-ка, фактики в студию.:)

Так это... Далеко ходить не нужно. Вспомним тот же бластер - между его появлением и появлением патча и чистилки прошло несколько дней. Трубили об этом на всю сеть. Приводились разные проценты заражения к моменту появления патча в зависимости от источника информации - от 10 до 50.
Однако же сколько людей поставило всё это хозяйство ? Или сайт SCO просто так отвалился ? Это к вопросу о среднестатистическом пользователе.

А чтобы по-ближе, то вот:

http://zdnet.ru/?ID=461619

Это опять к вопросу о среднестатистическом пользователе. Цитирую: "Просто удивительно, что Netsky-P и Zafi-B до сих пор заражают компьютеры, несмотря на то, что антивирусные компании уже несколько месяцев предлагают защиту от них".

PS. А еще можно вспомнить два года жизни Win.CIH. В народе "Чернобыль". Два года подряд 26 апреля сервисные центры матерились в полный рост.
 

abap
16 Dec 2004 5:41 AM
>Брехня, более половины SAPа установлено на виндах.

вот это полный бред! да большинство инсталляций R/3 на юниксах, если и есть некоторое количество инсталляций на винде, то это девелоперские системы для _небольшого_ количества программистов, тестовые системы с небольшим количеством данных и парой юзеров.
спрашивал на днях знакомого из sap саппорта, много ли r/3 на винде. он сказал, что единицы, как-то попался им восьмипроцессорный сервер с win2003, так весь отдел сбежался посмотреть на чудо природы
 

rGlory
16 Dec 2004 6:56 AM
2 Сергей М
> А теперь без шуток. Отключить ИЕ? Это как это? Я посмотрю на тот комп, на котором сделать "regsvr32 -unregister" для mshtml.dll или shdocvw.dll.

Вы до сих пор всерьез воспринимаете маркетинговый бред PTO, Aleksander S. и компания? Чесное слово не стоит...
 

Сергей (LW)
16 Dec 2004 7:18 AM
Даже смешно читать... Доступа к исходникам Винды нет, но тем не менее мы считаем... Я фильм не смотрел, но осуждаю! Как бы мне устроиться на работу в такое вот агенство, чтобы нихрена не делать, но бабло зашибать :) По баку за каждое сообщание в форумах, спровоцированых моей хренью :)

"А не спеть ли мне песню, а любови, а не выдумать ли нооовый жанр, попосовей мотив и стихи и всю жись получать ганарааааааар!"
 

Михаил Елашкин - imhoelashkin.com
16 Dec 2004 10:14 AM
2 NoName

>2 geor: охолонись малЧык, NoWell это одна из самых гнилых контор которые есть в IT, они только судиться умеют так как софт писать давно разучились. Марш читать на гугле про Canopy Group. Когда NoWell Ximian и SuSE прикупил стало понятно что скоро их разработки превратятся в коммерческое дерьмо.

Маладца. Кратко. Четко. По делу. Безупречное доказательство собственной дурости, безапеляционности и хамства. По сути сказать нечего, но гонору...
Читая таких "специалистов", я начинаю понимать ненависть РТО к "линурастам". Если он имеет в виду NoName, то я подписываюсь.
 

NoName
16 Dec 2004 10:16 AM
2Сергей M: молодец кусачий :)

2PTO: Я тебе отвечу - мне тут бабка по секрету на кофейной гуще нагадала про корни. А теперь слушаем правильный ответ :)
 

NoName
16 Dec 2004 10:19 AM
2geor: Ну дык а ты как думал, если бы не жёлтый noname, то IT долго бы двигался в сторону домашнего пользователя. NoName рулит там где брэнды отдыхают :)
 

Михаил Елашкин - imhoelashkin.com
16 Dec 2004 10:25 AM
2 abap
>>Брехня, более половины SAPа установлено на виндах.
> вот это полный бред! да большинство инсталляций R/3 на юниксах, если и есть некоторое количество инсталляций на винде, то это девелоперские системы для _небольшого_ количества программистов, тестовые системы с небольшим количеством данных и парой юзеров.

Увы, вынужден разочаровать. Могу откопать отчет SAP - 62% новых установок SAP на SQL Server и Windows.
Что до твоего источника, то это наверно российский SAP. У них с MS действительно плохо - они просто это не умеют и боятся. Дело в том, что стоимость лицензии на СУБД по сравнению со стоимостью лицензии на SAP и его внедрением очень мала. Соответственно у нас народу наплевать на базу и тип сервера - лишь бы работало. А имидж у Oracle круче чем у MS.
Если смотреть на внедрения по миру, то там народ считает даже копеечку, а тут не просто копеечка - можно реально сэкономить 30-40% за счет более легкого железа и софта + стоимость администрирования ниже. Для правильных покупателей это важно. Вот они и переходят.
Если тебе интересно посмотреть какого масштаба можно сделать SAP на SQL, то
http://www.sap.com/benchmark/
выбираешь SD2 3-tier и находишь, что первый результат MS - 26.000 юзеров против 100.000 у оракл.
Если смотреть на реальные проекты, то есть 18.000 юзеров на SQL. У меня эти ссылки на ноутбуке. Съезжу в офис - положу здесь.

Так что российский SAP сачки-неумехи и это не показатель.
 

vas
16 Dec 2004 10:43 AM
2Сергей М
>не куст а подключ
Не будем спорить о терминологии. Этот "куст" это из учебников, сейчас они у брата искать лениво :). Хотя конечно правильно subkey.

В статьях сказано, что directx является частью ос и не может быть удален. Но нигде не сказано о том, что его нельзя откатить.

Скажу честно, эксперимент ставился на xp (ну нет у меня у пользователей w2k ws). Но технология LKGC, насколько мне известно, не претерпела существенных изменений.

А что касаемо драйверов стороннего производителя, то драйвера от МС проходят такой же WHQL как и все.

Кстати в свое время была проблема с интегрированной AC97, после установки directx. Комп повисал либо до входа в систему, либо через некоторое время после. Проблема решилась так: через safe mode отключается ac97, перезагрузка, удаление старых драйверов и установка новых (именно в такой последовательности).
 

случайный имя
16 Dec 2004 11:15 AM
я не понимаю, какого вам дался это mshtml.dll на сервере? Зачем его удалять? Просто не пользуйтесь интернетом на сервере. Этого достаточно (если по русски: нех... порноху на серваке смотреть). Та дрянь, которая может попасть через ИЕ (не патченном), требует активных действий пользователя
 

Сергей М
16 Dec 2004 11:23 AM
2vas:
к сожалению, в моем случае новее дров нет. так что сижу, кукую... Приходится перерубать IrDA на втором коме туда-обратно, в зависимости от потребностей и кабели дергать постоянно. Неудобно.

По поводу сертификации.
Хочется надеятся, что это так. Но мой опыт подсказывает мне, что к своим собственным творениям МС, как и любой другой "законодатель мод", относится более снисходительно, чем к продукции сторонних вендоров, сертифицируемой МСом . Безусловно, МС проводит всяческое тестирование компонент, которые он выкладывают на WU, но у него, как у "авторизатора", всегда есть возможность сказать, что их продукция функционирует согласно документации, а вот дрова какого-то там вендора, пусть даже отсертифицированные, ТЕПЕРЬ работают неправильно, так как этот вендор, например, при анализе каких нибудь битовых флагов забыл наложить маску на биты RFU и теперь, когда эти биты получают значение, отличное от "0", драйвер работает криво.
 

Сергей М
16 Dec 2004 11:30 AM
2случайный имя:
Мне далось всё, что не используется на конкретном сервере.
USER, GDI, IE, DirectX :), и т.д. Наличие любого исполняемого кода, потенциально содержащего дыры, но установленного только потому, что иначе система не устанавливается и, возможно, не грузится(и только), как раз и приводит к понижению стойкости системы к взлому.
 

vas
16 Dec 2004 11:43 AM
2Сергей М
Тут коллеги подсказывают, что по этой же методике (через отключение устройства в safe mode), они просто откатывали дрова и устанавливали их же, и работало. Попробуйте, может это шаманство :) и сработает?

По поводу сертификации - официально МС заявляет, что жесткое тестирование проходит все. Как на самом деле не знаю. Хотя за последний год мне не пришлось откатить ни одного исправления по причине неработоспособности.
 

Сергей М
16 Dec 2004 12:02 PM
2vas:
Пасиб, я уж всё перепробовал. Кроме полной перестановки системы и всего софта с последующей неустановкой DirectX 9 - времени жалко. Тем более, что стоит система (без перестановки) с 2001 года, и ничего так работает (ну с должным уходом разумеется). Это, кстати, МСу в плюс. Свои линухи я, правда, тоже не переставляю по нескольку лет (если не считать необходимых патчей). К некоторым даже не подхожу по пол-года.
Вот, кстати еще один недостаток МS: - половина (если не больше)
фиксов с WU требует перезагрузки системы (я уже не говорю о простой установке с первого взгляда "безобидного" софта, которая почему-то заканчивается требованием перезагрузить комп). Линух же я перегружаю только при замене оборудования и ядра. Все остальное патчится/апдейтится находу без остановки сервера. Так вот.
 

PTO - ptokgb.ru
16 Dec 2004 12:08 PM
2 Сергей М: просто виснет? чего будет, если включить сейфмоуд с логом и потом посмотреть в лог... а лучше мне его прислать :)

Про НТ4 вы безбожно врете - идите читайте матчасть :)
Требования на С2 не МСовские, а НСАшные

Нафиг мне АДС, если мне нужен простой СКЛсервер?

2 А:
"Вспомним тот же бластер - между его появлением и появлением патча и чистилки прошло несколько дней"

Вранье.

http://sea.symantec.com/content/article.cfm?aid=56
"The time between vulnerability disclosure and widespread exploitation continues to shrink. During the summer of 2003, the Blaster threat was released just 27 days after the associated vulnerability was announced, the shortest such time period ever. This spring, the Sasser worm surfaced just 18 days after the Microsoft LSASS vulnerability was disclosed."

27 дней уже патч был

"Это опять к вопросу о среднестатистическом пользователе"
да что тут про среднестатистического пользователя - давайте глянем на среднестатического админа линуксового ящика: http://news.netcraft.com/archives/2003/11/index.html
49% не поставили патчи 1.5 года... чего уж про домашних-то говорить

2 abap: вам в принципе Миша уже ответил. у меня есть _статистика_ (в т.ч. о том, что инсталяции САПа на сегодняшний мир более половины под виндами, половина из этих под СКЛ-сервером - не в новых, а уже вообще). Что есть у вас окромя бесед в курилке с местными гуру?

2 rGlory: конечно не стоит - главное тащиться от FUDа и свято верить в непогрешимость опенсорса и пророков его... Аминь!

2 imho@elashkin.com: берешься цитировать - цитируй правильно "линурасы" они... "линурасы"... :)

2 NoName: ну давай давай, рассказывай про опенсорсные корни по 40000 долл. за процессор

2 imho@elashkin.com: тут вот МС отрапортовал, что свой продакшн САП перенесли на SQL2005Beta2... полет нормальный :)
 

PTO - ptokgb.ru
16 Dec 2004 12:10 PM
2 Сергей М: за последние 2 года новые патчи к ядру выходят в среднем раз в месяц... сие означает, что если вы не перегружали линукс пол-года это скорее всего означает что он уязвим по самое нихочу... може там уже руткит чей-то сидит :)
 

test
16 Dec 2004 12:24 PM
2РТО:
бывают и линурасы... знавал я и виндорасов...

казалось-бы при чем здесь операционная система?
 

Сергей М
16 Dec 2004 12:29 PM
2PTO:
> он уязвим по самое нихочу...
Это зависит от того, что на сервере стоИт и что из этого доступно извне. Я не кретин, и лишнюю работу делать не хочу. Ни в смысле восстановления системы после взлома, ни в смысле ненужного в конкретном случае апдейта.

> чего будет, если включить сейфмоуд с логом и потом посмотреть в лог
Всё будет хорошо - дрова нетмоса не загрузятся, потому лог безсмысленен.

> Требования на С2 не МСовские, а НСАшные,
я и сказал - мерикосовские - читай американские. При чем тут МС?

Кстати, тут кто-то (не помню кто) кричал про построение ядра через дыру в Апаче. А зачем на сервере gcc + какие бы то ни было сырцы?
 

Сергей М
16 Dec 2004 12:39 PM
2РТО:
> Нафиг мне АДС, если мне нужен простой СКЛсервер?
... c чиста скуэльной аутентификацией
 

Санитар - nospam.ru
16 Dec 2004 1:08 PM
Так, РТО -- срочная госпитализация.;-)

Хотя судя по адресу он из kg.ru, конторы, которая активно осваивает МСовские бюджеты по сомнительные "акции" по безопасности. Стыдно.
 

NoName
16 Dec 2004 1:19 PM
2PTO: Я где-то сказал что это был Open-Source ? Я сказал что было писано под Linux убитым линуксоидом. Любишь ты подтасовкой фактов заниматься. Ну так как, откроешь нам правду про корни префикса и префаста или нет ? Давай-давай, не ломайся как девица, выкладывай ссылки... :)

P.S: бооойся ;)
 

NoName
16 Dec 2004 2:31 PM
Мне тут мышля (от слова мышление :) пришла в голову что Linux по существу тот-же NoName :) Не ну сравните железячный NoName и Linux :))
 

NoName
16 Dec 2004 2:33 PM
Ай да я, ай да молодес, novell только вот зараза прилип как муха...
 

Myxamop
16 Dec 2004 2:59 PM
...и тут Остапа... пардон NoName'а п(р)онесло.
 

PTO - ptokgb.ru
16 Dec 2004 3:22 PM
2 test: Мишу спрашивайте - я лишь поправил неправильное произношение, когда он начал ссылаться на меня

2 Сергей М:
бага в ядре есть бага в ядре.

можно включить лог, дождаться убиения машины, потом выбросить карту и сравнить 2 лога

действительно, зачем на сервере сырцы и все прочее! спросите это красноглазых кульных админов-хацкеров... спросите гентушников как им без компилятора и исходников живется

дык а может тот линукс ниже с Ораклом может такую предложить? или только встроенную Оракловую... мы ж говорили об одинаковом функционале или как?

2 Санитар: когда станете врачем, тогда будете ставить диагнозы. Мне не стыдно - я оперирую фактами, цифрами, сносками и цитатами... мои оппоненты как правило слухами из курилке и верой.

2 NoName: ну давайте рассказывайте уж скорее свою версию, а тож у меня уже все коленки издрожжались :)
вот ваша цитата "Прально, было писано под Linux одним из убитых линуксоидов"... сорри, конечно не про опенсорс, а про линукс - интересно, кто ее покупал за 40000 долл. за штуку.

короче рассказывай, довольно интриг. только чтоб со ссылками, что корни префикса засеяны имяфамилия, в таком-то году, для такой-то версии линукса, сам он линуксоид с таким-то стажем - типа см. файл с исходником такой-то, а вот его интервью, где он говорит, что сделал сие для линукса специально. аналогично для префаста (это типа совсем-совсем разные тулзы :))
 

NoName
16 Dec 2004 3:46 PM
2Mudak который подписался моим ником: пошел-бы ты отсюда подальше, а ?

2 Myxamop : не эрригируй на онанизмусов которые чужие ники тырят.

2PTO: Коленки говоришь дрожжат, боишся говоришь ... :)
Я забыл сказать что бабка мне на кофейной гуще нагадала, причём дело было в курилке одной церкви :))

Я временно признаю свою неправоту и прошу тебя всё-же "ссылками, что корни префикса засеяны имяфамилия, в таком-то году, для такой-то версии линукса, сам он линуксоид с таким-то стажем - типа см. файл с исходником такой-то, а вот его интервью, где он говорит, что сделал сие для линукса специально. аналогично для префаста " сюда :)
 

glassy
16 Dec 2004 4:14 PM
Помню помню как я нуль положил на СП4 из-за карты нелинейного видеомонтажа...
 

abap
16 Dec 2004 4:26 PM
"местный гуру" - это человек из валдорфа и он в курсе на каких системах работает sap r/3 в европе.

если всё решают деньги, а не здравый смысл, то может и ставят r/3 на винде. но уж никак не 62%, да и экономия сомнительная получится
 

Сергей М
16 Dec 2004 4:41 PM
2PTO:
> бага в ядре есть бага в ядре.
Где бы она ни была - бага есть бага.
Только вопрос в том, нужно патчить продукт сейчас, если сервис не используется или нет.
Мне, например, горизонтально, есть ли дыра в ОпенССЛ < Ка-того релиза или нет, если я ничего по ссл не отдаю. Более того, он, ОпенССЛ, у меня в таком случае даже не стоит скорее всего. Я потрачу время на его апдейт (а скорее установку) только тогда, когда прикручу на этом конкретном сервере сервис разговаривающий по ссл или тлс. Любой отдельно взятый оператор можно рассматривать как баг, будь он вырван из контекста.

> можно включить лог, дождаться убиения машины, потом выбросить карту и сравнить 2 лога
а чего сравнивать если и так ясно - дрова карты стали несовместимы с жизнью. других то проблем слава Богу не появилось при апдейте.

> действительно, зачем на сервере сырцы и все прочее!
> спросите это красноглазых кульных админов-хацкеров...
> спросите гентушников как им без компилятора и исходников живется
Я уже упоминал, что наличие сырцов и компилятора мне самому часто жизнь упрощает, просто я имею ввиду, что они не должны валяться где неположено.

> дык а может тот линукс ниже с Ораклом может такую предложить?
> или только встроенную Оракловую... мы ж говорили об одинаковом
> функционале или как?
Про функционал я упустил. Тады канешна РПЦ наружу не нужен.
 

PTO - ptokgb.ru
16 Dec 2004 4:58 PM
2 NoName: не, ну я же имена, фамилии, год начала работ и "корни от которых получили вдохновление" приведу... со ссылками и цитатами... но если вы будете продолжать пугать, то окажетесь в положении того мальчика у которого всех овец сожрали ибо пастухам задрало бегать его спасать по ложной тревоге

2 glassy: ну почему я нисколько не удивлен :)

2 abap: давайте почитаем совместные прессрелизы МСа и САПа...
http://www.microsoft-sap.com/docs/Sap%20Insider%20Fact%20or %20Fiction%20revised%20Oct%2023%202002.pdf
Nearly 60 percent of all new SAP installations are, in fact, implemented in Windows. Windows has been the majority shipping platform for three years running" (там ссылка, что это по результатам продаж в Q3 2001 года...) т.е. уже СЕМЬ лет, винды маджорити ОС для САПа... а вы все еще сомневаетесь... продолжайте спрашивать вашего гуру, только пусть он удосужится прочесть пресс-релизы своей конторы + поговорить с начальством чтоб оно ему объяснило кто у САПа нонче главный друг и какова на самом деле статистика:
http://www.sap.com/company/press/Press.aspx?PressID=2799
Microsoft and SAP have been partners in delivering enterprise business value to customers for more than a decade. More than 40,000 SAP installations run on Microsoft Windows® —more than all other platforms combined. Almost two-thirds of all new SAP installations are deployed on Microsoft Windows. By aligning their flagship software efforts for the next decade, the two companies are reaffirming their commitment to help customers protect, integrate and extend their investments across Microsoft and SAP solutions.

Будете продолжать настаивать - попросим привести фамилию и телефон вашего гуру - позвоним и поговорим что он говорил на самом деле и правильно ли вы его поняли
 

A
16 Dec 2004 5:02 PM
2 vas:

> Тут коллеги подсказывают, что по этой же методике (через отключение устройства в safe mode),
> они просто откатывали дрова и устанавливали их же, и работало.

Может это и поможет. Главное, чтобы win загрузилась в safe mode, что тоже не всегда удается - иногда выбрасывает синий экран.

-

2 PTO:

"the Blaster threat was released just 27 days after the associated vulnerability was announced". Обнародование уязвимости совсем не означает наличия на неё патча.

> да что тут про среднестатистического пользователя

Ну так. Alexander S. пытался меня убедить, что "среднестатистический пользователь" (это определение появилось в его сообщении) только и занимается тем, что ставит патчи и обновляет антивирь. Я же в свою очередь попытался его убедить, что СП даже понятия не имеет о существовании заплаток и антивирей.
Про админов не было ни слова.
 

PTO - ptokgb.ru
16 Dec 2004 5:05 PM
2Сергей М: я вам по бальшому секрету скажу, что я и в виндах не бегу патчить систему по любому чиху. не используется какой-либо сервис - он дизайблед и его никто не трогает. Что вы хотите доказать своим высказыванием? что вы умный? дык с этим я не спорю - почему только в 49% линуксовых администраторов (у которых ssh установлен БЫЛ и РАБОТАЛ) патчи не ставятся по 1.5 года на используемые сервисы. Просто братия линурасная регулярно начинает рассказывать про некие суперпревосходства программеров на опенсорсе и администраторов линукса... такое впечатление, что им сразу операцию на мозге делают и дополнительного ума и гениальности вкладывают - проверка показывает, что это не так... ничем они не лучше в массе своей, а может даже и хуже

Старых минидампов не осталось? я более чем уверен, что дело не в драйверах, по крайней мере карты и директХа...

ну у меня тож компилер под рукой... но не на сервере... нечаго ему там делать... вот только жертвы червя Морриса об этом не знали, ибо он почему-то предполагал наличие компилятора и откачивал кусок исходного кода для собственной сборки.
 

abap
16 Dec 2004 5:08 PM
повторяю - это не продуктивные системы!
системы для разработчиков, тестовые системы - да, но не продуктив. наши девелоперские системы тоже были переведены с линукса под винду, вышло вроде дешевле, чем покупать sles.

тот человек, о котором я говорил, работает в саппорте, специализируется на support package'ах. с мyдаками он в принципе не общается, так что если РТО ему позвонит, то будет послан нах.
 

случайный имя
16 Dec 2004 5:31 PM
2abap:

какие грозные... в сапе в вальдорфе работают. Позвонишь тут в сап с вопросом на тему оного на Windows - а тебя нах пошлют. Нда...
 

abap
16 Dec 2004 5:38 PM
2случайный имя:
позвони мне лично, я тоже могу нах послать, хоть и не в сапе работаю
 

PTO - ptokgb.ru
16 Dec 2004 5:47 PM
2 А:
http://www.zone-h.org/en/news/read/id=3502/
Worryingly, attackers are getting faster at exploiting new gaps, with the attacks from the infamous Blaster virus this past August coming just 30 days after a patch was issued. The trend is clear. "Companies that haven't invested in security have a steep learning curve," said Flynn, "but it shouldn't be a continuous upward curve."

если быть точнее, то первый бластер был зафиксирован 11 августа - см. http://www.pcw.co.uk/news/1142934, а патч был готов: http://www.microsoft.com/technet/security/Bulletin/MS03-026. mspx 16 июля... разницу можете посчитать сами
 

PTO - ptokgb.ru
16 Dec 2004 5:57 PM
2 abap: поздравляю вас господин соврамши хам. я худею, суппортер делает громкие заявления... вы телефончик, даже нет - просто фамилию скажите - он вам сам перезвонит и пошлет именно туда, куда вы тут грозитесь всех послать... спорим, что оно так и будет? а может еще и прислучае по голове настучит... чтоб впредь не повадно было... и пусть он вам еще объяснит разницу между клиентским местом, местом разработчика и инсталляцией САПа, коих у САПа по миру всего 76100 из которых более 40000 на виндах работают (на май 2004 года - нонче разговор идет о 84000 установок)... и еще пусть ваш суппортер готовится к мега слиянию, не забыв прикупить хороший флакончик с кремом в ближайшем магазине Beate Uhse в его родном городе.
 

NoName
16 Dec 2004 6:08 PM
2PTO: ну приведи так как овец мне не жалко :) А мы с Мухамором за твоё здоровье уолкера дерябнем :) Ну кинь же ссылки, не дай умереть неучем, или боишься ? :)
 

abap
16 Dec 2004 6:29 PM
2PTO: хватит тут разводить сопли, совершенно не разбираясь в сущности дела. между клиентским местом и местом разработчика разницы нету, но вот продуктивных систем, на которых тысячи юзеров работаю в десятки раз меньше, чем всяких мелких инсталляций для уже упомянутых мной целей.

где "громкие заявления"? саппортер сказал, что среди обращающихся к ним клиентов подавляющее большинство сидит на юниксах, речь конечно о продуктивных системах
 

Сергей М
16 Dec 2004 6:34 PM
2РТО:
> Что вы хотите доказать своим высказыванием?
Ничего я не хочу доказать, кроме того что каждый должен заниматься своим делом. И я уже ранее писал об этом, что дело не в том какая ОС, а в том какой админ.

> почему только в 49% линуксовых администраторов...
А почему из, в среднем, 600 прямых (не через релеи) коннектов по SMTP в сутки к моему корпоративному серверу только 50 приходится на полезную почту а остальное делится пополам между _виндовыми_ компами, зараженными вирусами и рассылающими вирусы и _виндовыми_ компами, зараженными вирусами и рассылающими спам? И линуксов среди них нет! То что это виндовые компы - это стопудов. Я специально проводил исследование. К тому ж я еще не видел вирусописателя, написавшего бы вирус для виндов, который после заражения маcкировал бы тачку под линукс, например. И дело не в том, что линуксов на десктопах сильно меньше чем виндов. Дело в том, что винды из коробки открыты всем и вся. И хоть МС и делает жалкие попытки "проверить безопасность системы" перед установлением соединения с сетью, но почему-то забывает, что для подключения к интернету совсем необязательно привязывать МСсервер сервис к ппп-интерфейсу. На большей части зараженных тачек открыты 137,138,139 и UPnP(не помню номер) порты. Нафига спрашивается?

> Просто братия линурасная регулярно начинает рассказывать...
Виндурасная тоже частенько зарывается.

> про некие суперпревосходства программеров на опенсорсе и
> администраторов линукса...
Причем тут программеры - мы обсуждаем не программеров, а результаты их творчества.
 

PTO - ptokgb.ru
16 Dec 2004 6:42 PM
2 NoName: записываем вам незачот

2 abap: меня не удивляет, что в суппорт все больше юниксоиды звонят - система тяжелее в обслуживании и настройке... вы бы могли привести цифры сколько есть продуктивных и непродуктивных систем из тех 84000 установок, коими гордится САП?
Фамилии не будет?

2 Сергей М:
Дык а линуксов-то вообще мало... но на мой почтовик домашний приходит зело больше писем в день приходит... почему-то все больше с сендмейла кривонастроенного... почему так? ума не приложу... а можно узнать как вы это исследование проводили... ну типа зафиксировали айпи злодея - что дальше делаете?

Вы типа на топик данного обсуждения посмотрите, потом статейку прочтите, потом мои первые и последующие посты - мы тут все за программистов говорили, все больше про опенсорсных
 

случайный имя
16 Dec 2004 6:44 PM
> саппортер сказал, что среди обращающихся к ним клиентов подавляющее большинство сидит на юниксах,

Такие большие проблемы с САП и юникс? Мда...
 

Сергей М
16 Dec 2004 6:53 PM
2РТО:
> как вы это исследование
man nmap, например.
> Почтовик
Я говорил только про прямые коннекты. без промежуточных рилеев.
> Сендмаил.
не в софте дело. а в руках.

Топик я помню. И статейку читал. Мы тут все не раз даже на личности переходили и от темы давно ушли.
Так вот если про статейку, то в Coverity никто не сравнивал винды с линуксом. Просто проводилось исследование ядра линукса на предмет ошибок. А все что там в статейке изложено - это к автору статейки.
 

случайный имя
16 Dec 2004 7:05 PM
2Сергей М:

"На большей части зараженных тачек открыты 137,138,139 и UPnP(не помню номер) порты. Нафига спрашивается?"

Потому как:
Дофига еще старых систем. Даже ХР по умолчанию в начале была вроде с отключенным файрволлом (хотя я точно не помню). Большинство таких чайников просто покупают предустановленный комп, включают его, ждут пару десятков минут и получают рабочую систему. Их мало что волнует потом.

В линуксе же наоборот. Нужно быть весьма опытным профи, чтобы заставить это работать. Все эти рассказы "у меня папа-мама-сестра линуксом пользуются уже 5 лет" звучат сладко до тех пор пока не вспомнишь, что рядом прилагается спец, который все это настроит. Так у меня дома тоже проблем нет - все пользуются одной машиной, но никаких вирусов, троянов и прочей шелуши нет.

Когда в линукс прийдут настоящие "чайники" (если прийдут) - вот тогда и начнется. Если вирусов может быть и не много, то почтовой дряни, которая доставляет основную массу проблем, будет достаточно.
 

abap
16 Dec 2004 7:08 PM
у сап внутри проблемы, независимо от ОС.

у нас в конторе из 6 программистов 7 инсталляций sap r/3(4.0b, 2x 4.6c, 4.7, web as 6.20, два минисапа на ноутбуках) все на винде. все они исключительно для разработки софта. продуктивных инсталляций у нас нет. интересно, они попали в статистику.

 

PTO - ptokgb.ru
16 Dec 2004 7:18 PM
2 Сергей М: интересно, а какой смысл сканировать нмапом диалапщика, когда он уже отключился...

претензии были к автору статьи... мне казалось, что за редким оффтопиком мы все еще пытаемся ее обсуждать

2 abap: нет, такое САП не считает. Считаются продакшн системы исключительно
 

A
16 Dec 2004 8:04 PM
2 PTO:

Ну тогда вот:

http://www.zdnet.com.au/insight/0,39023731,20282718,00.htm
Никто еще не забыл недавние наезды на некоторые сайты за то, что они используют незакрытую брешь в IE для установки spyware ? Вот на эту же тему:

http://spyblocker-software.com/IPB/index.php?s=3c4614ee120a 4db16db7545e102811ce&amp;showtopic=1398
 

PTO - ptokgb.ru
16 Dec 2004 8:08 PM
2 A: поправьте меня если я не прав, но эта брешь в СП2 не работает?
 

Сергей М
16 Dec 2004 8:09 PM
2PTO:
ну зачем же когда отключился? Сразу начинаем, по получении пакета с SYN битом
 

PTO - ptokgb.ru
16 Dec 2004 8:13 PM
2 Сергей М: вы всех, кто пытается с вашей системой сразу нмапом сканируете? хммм.. неужели до сих пор не получили по голове от провайдеров?
 

Сергей М
16 Dec 2004 8:22 PM
2случайный имя:
UPnP может быть открыт только на ME и ХР (из бокса если), так что системы вовсе не старые.
> В линуксе же наоборот. Нужно быть весьма опытным профи
Вы когда нибудь ставили Мандрак или Редхат(Федору) последних выпусков? Нифига там не нужно быть "крутым" что бы заставить Мозиллу отобразить скажем http://www.microsoft.com/
2РТО:
Во первых не всех. а только тех кто не является "надежным" с точки зрения предидущей истории процесса. во вторых не по всем портам, а только по интересным (и входящим и исходящим). в третих, сканирование портов не есть преступление. в четвертых не все время, а только когда мне было интересно провести это исследование - я за трафик плачу, нахрена он мне лишний?
 

Сергей М
16 Dec 2004 9:09 PM
2случайный имя:
> Когда в линукс прийдут настоящие "чайники"
Тут я согласен. потому как я устал объяснять усерам, что не надо открывать никаких аттачментов, если вы не ожидали их от корреспондента, пусть даже письмо пришло с известного им адреса.
Все равно открывают, а отфильтровать всё по известным причинам нельзя. Хотя кое-какие мои наработки мне помогают даже в случае вирусов, кот. еще не секутся ни одним из ведущих антивирусов.
Недавно поймал тут один (вариация бигл кажется, как ее потом классифицировали). Засабмитил касперскому. Через сутки(!) пришел от них ответ - да мол, вирус. Еще через три дня Каспер начал его определять (Нортон без моей помощи отреагировал быстрее - на 2е сутки после обнаружения мной). Так то вот.
 

NoName
16 Dec 2004 10:06 PM
2PTO: Ну вот, придётся пить за пугливого PTO ;)
 

A
16 Dec 2004 11:33 PM
2 PTO:

> поправьте меня если я не прав, но эта брешь в СП2 не работает?

Понятия не имею. А от вопрошающего были какие-то условия по этому поводу ? Насколько я помню нет.

Но если его наличие таки является обязательным условием, как подмножество последних обновлений, то для русских версий XP второй SP появился только в конце августа, а уязвимости датируются июлем. Про какие-нибудь немецкие, французские, итальянские, китайские, японские версии ничего сказать не могу.

PS. Чего-то у меня не получилось заглянуть на свою вторую ссылку из предыдущего сообщения. Поправка:
http://spyblocker-software.com/IPB/index.php?showtopic=1398
 

domician
17 Dec 2004 4:51 AM
2 А

да, это древняя особенность никс :) спасибо что напомнили... но насколько я понял смысл вопроса PTO, надо было чтобы веб-сервер не под рутовым аккаунтом работал... а может он какую другую тонкость имел в виду (например, дать юзеру одно и только одно право - пускать/останавливать Апач, а под каким собсно аккаунтом он пашет, дело вторичное)... я уточню

а почему САМБА не пользуется ПАМ... это общий и гибкий механизм аутентификации... собсно, так и написано в документации, что любая программа может его задействовать... почему САМБА мимо

я правильно понял, что SAMBA, если уж она не задействует PAM, использует для аутентификации вин-клиентов либо NTLM v.2 либо Керберос? а для smbclient только Керберос? или еще какие-то протоколы?

ну, обещать-то обещают, а вот что и как сделают :) а почему так долго кстати... 4-я самба где-то через год выйдет, не раньше... это получается только через 5 лет с момента появления АД в закрытой и ужасной Win2k, аналогичная технология будет реализована в светлом и прогрессивном опенсорсе? :)

простите, САМБА на линуксе/бсд стоит, какой там реестр можно ковырять для эмуляции домен-контроллера АД (если я правильно понял)

а почему бы им и не пустить PTO посмотреть на их корпоративную сеть... все-таки не совсем левый человек для МСа, да еще и по делу может приехать, а не просто на экскурсию :) хотя как я понял, даже простые экскурсанты в МСН Датацентер могут попасть

вы не в курсе, фри нет опен бсд - кто нить из них проходил сертификацию хоть на какой-нить уровень по оранжевой книге или по общим критериям... как например SuSE... RsBac вы упомянули... хорошо... а какой дистр линукса вместе с ним сертифицировался официально? это наверно вопрос ко всем - про сертификацию бсд и лин/рсбак

 

domician
17 Dec 2004 4:57 AM
2 PTO

а почему вы так скупо ответили на мои вопросы? тем кто нецензурно выражается, вы почему-то отвечаете более развернуто... может и мне взять пример? :) так хоть полный ответ получу :)

так верно или нет, что setfacl решает проблему с правами юзера на сервис? как упомянул А, действительно есть такая особенность в *nix - сервисы могут использовать порты 1 -1024 только с правами рута... в чем была фишка вопроса про назначение прав на запуск/останов Апача? что веб-сервер просто не сможет работать с 80 порта (если будет запущен под аккаунтом пользователя через setfacl)? а редирект тогда не поможет (рутовый демон на 80 порт вызывает юзерский Апач на любом настроенном порту выше 1024)? или неважно, что под рутом Апач запущен (главное, чтобы юзер мог это сделать)... чем тогда sudo не устраивает? тем, что юзер через него еще много чего сделать может, а надо чтобы ТОЛЬКО были права на сервис и никакие другие? проясните плз, в чем подковырка вопроса

сорри, но повторю вопросы

1) как в 2000/XP Pro выставить ограничения (желательно через граф. интерфейс штатными средствами) для каждого пользователя на время процессора/память, можно ли квотировать кол-во файлов, а не только пространство на диске

2) про разграничение доступа к разным разделам/параметрам конфигов в /etc для каждого пользователя (типа как к веткам реестра) - не понимают люди, зачем... просят конкретных примеров дать, когда это действительно надо... говорят, вполне достаточно, что можно дать доступ к конфигам DNS, SQUID или XFree целиком

3) как называется в Win2000/2003 сервере механизм, аналогичный PAM? какие еще протоколы аутентификации, кроме NTLM v.2 и Kerberos можно задействовать в штатном дистре Win2000/2003 (если они есть)

ну еще несколько вопросов, если можно :)

почему все так сильно привязано к RPC? эксплойты/черви через 135 порт это уже притча во языцех... а отключать RPCSS очень нежелательно, функциональность страдает... это конечно не архитектурный дефект ядра, но... вот хочется чтобы именно RPC не работал (или хотя бы не слушал 135 порт), а другие сервисы пусть... но такое можно, только если они прямо или косвенно к RPC не привязаны... почему на одинокой машине, где приложения и сервисы могут между собой ТОЛЬКО по LPC общаться, они все таки задействуют RPC... в итоге неутешительный вывод... RPC отключить теоретически можно, но практически сразу обратно включать надо... на что линуксойды справедливо замечают - а вот попробуйте РПЦ вырубить в виндах :) поиск по гуглу тож дает ссылки на кучу проблем при выключении РПЦ и один универсальный совет - скорее включайте обратно

про IE... почему MS не дает штатно его удалить? это ведь обычный броузер, обычная прикладная софтина... почему приходится пользовать сторонний анинсталлер для IE (XPLite) ? да конечно, есть софт, который привязывается к компонентам ИЕ, но это уж моя проблема... а если я Эксплорер удалить хочу из-за его негибкости? не просто вместо него другую оболочку загружать (Астон или еще что), а удалить Проводник со всеми библиотеками (опять таки, сторонний софт который привязался к Проводнику, моя забота)... как это Win2000/XP позволяет? самые простые примеры... конечно, E/IE в ядро не входят, но как себя поведет система при их полном удалении, вы пробовали? что будет, если удалить IE, но оставить E, потом в его окне набрать УРЛ и что будет? или сохранить IE, удалить E (заменив на другой шелл), и в окне IE набрать имя каталога в ФС... как связаны E/IE, может ли один успешно работать без другого? можно ли удалить (не неиспользовать, а удалить) их обоих и навсегда забыть про чудовищное кол-во багов одного, и негибкую функциональность другого...я бы с удовольствием это сделал, но опасаюсь проводить такие эксперименты :)
 

domician
17 Dec 2004 4:58 AM
2 PTO

MSN Datacenter на виндах это хорошо... а остальные здания? неужели вы не в курсе, где там солярис, где другие никсы (если есть) просто сей аргумент часто приводится на форумах (вот мол, ваша Майкрософт свои замечательные сервера продвигает, а сама не может никс убрать из своей корпоративной сети), вы должны были бы по идее детально выяснить организацию сети МСа... ну раз уж вы активно участвуете в дискуссиях на зднете, лоре или еще где... чтоб было что возразить оппонентам :) можно еще про ИБМ - как одного из главных продвигателей Linux - узнать? сколько у них в сети вин-серверов (если есть)... или там Актив Директори не в почете? Какие еще крупные корпорации кроме Сименса и Боинга держат десятки тысяч клиентских машин в АД

О! про Юнисис и гарантию на аптайм... плз подробностей можно, что за договор, на какой срок заключается, на сервер целиком или на отдельные сервисы... меня один линуксойд-юрист забадал, говорит не верю, быть такого не может, чтоб бесперебойность виндового сервера кто-то своими деньгами гарантировал... и кто еще кроме Юнисис дает гарантию на аптайм... если можно, ссылок приведите...

а по каким причинам Неткрафт вдруг стал продавать эту статистику? ну пусть пол-инета оказалось на виндах, ну и что тут страшного, что сразу надо данные закрывать и деньги брать... даже если статистика сейчас небесплатна, вы со свежими данными неткрафта по веб-серверам наверняка знакомы... ну приведите циферки на текущий момент... и по остальным серверам - где можно узнать статистику... или только по веб?

что вы можете сказать насчет XAD

http://www.padl.com/Products/XAD.html

и nitrobit

http://nitrobit.com/GroupPolicy.html

как линукс-аналогов AD? совсем-совсем не в ту степь? или впечатляет? :)

"не ругайтесь при мне словом OpenLDAP" (с) PTO

если можно, краткое резюме, чем вам сильно опенЛДАП не нравится... вот это, это и это в нем не реализовано (или криво реализовано) по сравнению с АД... а то как бы не понятно, почему опенЛДАП настолько плох... я только один конкретный пункт нашел в ваших постах - плохо сделана репликация

за ссылку на доклад спасибо

мда, длинный пост получился... сорри, вопросы накопились... а вас не поймаешь :) плз ответьте по пунктам

P.S. вы спрашивали насчет внутренней организации Linux - "где такая книга про линукс хотя бы по ядру 2.4, исходники не предлагать", как Inside Windows 2000...вот что я нашел... Внутреннее устройство Ядра Linux 2.4, автор Тигран Айвазян... взять можно отсюда

http://www.moses.uklinux.net/patches/lki.html

в сети есть и русский перевод
 

tstone - saldomail.ru
17 Dec 2004 7:57 AM
:-))

Да оставте вы РТО в покое.
Еще немного и он уверует, что компьютеры придумал лично Билл Гейтс.

Линурасов-то он конечно правильно ругает, но уже не замечает, что у самого глаза тоже красные стали (или синие? :-)).
 

хбз
17 Dec 2004 8:24 AM
2tstone: Линурасов-то он конечно правильно ругает, но уже не замечает, что у самого глаза тоже красные стали (или синие? :-)).

Не... Глаза у него стати голубые...

PS: Как небо на заставке winXP сразу после установки...
:)
 

Сергей М
17 Dec 2004 9:41 AM
Вот еще вариант для "где такая книга про линукс":

http://safari.oreilly.com/0596000022
 

Сергей М
17 Dec 2004 10:16 AM
2 A &amp; domician:
>> или может не в нем дело, а сервис в линуксе можно
> для прослушивания портов 1..1024 нужно иметь уровень
> Если есть желание, это дело можно изменить в самом ядре

Для этого даже не надо ничего в ядре менять: Апач слушает на порту > 1023 на лупбеке, а 80 порт с внешнего интерфейса через DNAT "рутится" туда.

2 domician:
> почему все так сильно привязано к RPC? эксплойты/черви
> через 135 порт
Решение есть, даже три: 1) ставится "MS Loopback adapter" (если в машине только один физический интерфейс) и сервис "Client for Microsoft Networks" отвязывается от внешнего интерфейса.
2) фильтрация.
3) IPSec policies (для W2K и моложе)
 

siizz
17 Dec 2004 10:47 AM
2 domician:
По поводу сертификаций - вы в курсе сколько она стоит?
 

siizz
17 Dec 2004 10:47 AM
Пародон.
Имелось ввиду сертификация по оранжевой книге.
 

Павел
17 Dec 2004 12:04 PM
2 PTO
>2 Дима: я абсолютный трезвенник - могу справку принести - только скажите куда подъехать за 50ю баксами :)

Вы программист? А сколько времени тратите на программирование и сколько на чтение zdnet?
 

Skull - sibskullmail.ru
17 Dec 2004 12:24 PM
2случайный имя: "Если вирусов может быть и не много, то почтовой дряни, которая доставляет основную массу проблем, будет достаточно"

Почтовая дрянь (всякие убогие почтовые поделки) только под Windows живут. Слава Богу, Linux'овый мейнстрим (KMail,mozilla-mail,Evolution) изначально правильно делали. Да и система не даст запустить абы какой файл на выполнение.
К тому же перманентного процесса изобретения несовместимых велосипедов в Linux также нет. Отсюда делаем вывод: "почтовой дряни" под Linux не было, нет и навряд ли появится. :)
 

Павел
17 Dec 2004 12:27 PM
Сергей М
>Линух же я перегружаю только при замене оборудования и ядра.

Апдейт иксов потребует их перезагрузки, а для рабочей станции это почти тоже самое что и полная перезагрузка :).
 

случайный имя
17 Dec 2004 12:36 PM
"Слава Богу, Linux'овый мейнстрим (KMail,mozilla-mail,Evolution) изначально правильно делали. Да и система не даст запустить абы какой файл на выполнение. "

Да ну?? А кто мне мешает детачнуть файл и сделать /bin/sh cherwjak.sh ?? Бдительная система распознает по имени файла?

Skull, ты же вроде нормально рассуждал. А тут прямо в красноглазье какое-то скатываешься... или RMS в очередной раз мозги промыл? :)))
 

случайный имя
17 Dec 2004 12:38 PM
"К тому же перманентного процесса изобретения несовместимых велосипедов в Linux также нет."

зато есть пермаментное изобретение совместимых. Доведут поделку до невероятного разбухания. И начинают новую с нуля, пытающуюся повторить по фичам старую.

Когда наконец переключалка раскладок клавиатуры в кде, которая родная, заработает? :)
 

Сергей М
17 Dec 2004 1:23 PM
2Павел
> Апдейт иксов потребует их перезагрузки
речь шла о серверах. а мне иксы на сервере не нужны.
Оговорюсь. Если это не сервер X-терминалов
 

Геморрой
17 Dec 2004 1:53 PM
Мдяя. Прикол в том, что лагеря разноцветноглазых опять РС-ками меряются. Рассказываю прикол. Хорошему знакомому продали ноут с линуксом от Альта. Настроили нормально. Но, как всегда, полезли ручки экспериментировать. В результате - переустановка. Затем, буквально сразу - анус. Приволок тачку мне (сервисники бабок запросили, а у меня несколько иной интерес был). Что интересно, Альт Компакт оказался по юзабельности не хуже винды, причем с одного СД ставилось практически все, что нужно. Графических настроечных приблуд тоже предостаточно. Тоько одна фича. Рут не может работать под Иксами, а только в консоли. А при работе простого юзера на каждый чих выскакивает окошко запроса пароля рута (судо старается). Так сей деятель получил письмо с супер-пупер патчем. И запустил его, по привычке введя пароль рута на запрос. После чего был отымлен по полной. Слов антивирус, файерволл, проверка адреса, просмотр содержимого не воспринимает. И теперь вопрос - а какая нафиг разница, что у него стоит? А это типичный массовый юзер.
 

A
17 Dec 2004 7:11 PM
2 domician:

> но насколько я понял смысл вопроса PTO, надо было чтобы веб-сервер не под рутовым
> аккаунтом работал...

Параметры User и Group в httpd.conf ?

> а может он какую другую тонкость имел в виду (например, дать юзеру одно и только одно
> право - пускать/останавливать Апач

sudo или суидность по группе ?

> а почему САМБА не пользуется ПАМ...

А потому что криптование LanMan не совпадает с криптованием DES/MD5, которое обычно используется в *nix. При передаче по сети шифрованного пароля от клиента (как делают Win98 и NT-системы) нет никакой возможности сравнить его с парольной базой пользователей *nix.

> я правильно понял, что SAMBA, если уж она не задействует PAM, использует для
> аутентификации вин-клиентов либо NTLM v.2 либо Керберос?

В принципе да. Win ничего другого не знает.

> ну, обещать-то обещают, а вот что и как сделают :) а почему так долго кстати...

Ну в 3.x они сделали всё, что обещали :)
А отчего так долго - это не ко мне вопрос, а к ним :)

> простите, САМБА на линуксе/бсд стоит, какой там реестр можно ковырять для эмуляции
> домен-контроллера АД (если я правильно понял)

Между прочим, групповые политики хранятся вовсе не в реестре, если кто не знает.

> хотя как я понял, даже простые экскурсанты в МСН Датацентер могут попасть

Да, конечно. Посмотреть через стеклышко на коробочки :)

> RsBac вы упомянули... хорошо... а какой дистр линукса вместе с ним сертифицировался
> официально?

Про сертификацию не знаю, а поставлялся с ним ALT Linux Castle, насколько я помню. Давно за ним не следил.

-

2 Сергей М:

> Для этого даже не надо ничего в ядре менять: Апач слушает на порту > 1023 на лупбеке, а 80
> порт с внешнего интерфейса через DNAT "рутится" туда.

В частном случае - да. В общем это не пройдет. Например, для DNS.

-

2 Павел:

> Апдейт иксов потребует их перезагрузки, а для рабочей станции это почти тоже самое что
> и полная перезагрузка :).

Совсем не обязательно. Например, имеется обновление системной библиотеки glibc. Надеюсь, все согласны, что эта библиотека используется всеми, кроме ядра ?
Так вот, все приложения, запущенные до обновления, будут продолжать использовать старую библиотеку, а запущенные после обновления - уже новую. При завершения всех приложений первой группы область памяти, занятая старой glibc будет освобождена.
Это относится ко всем приложениям и библиотекам. Поэтому в *nix не пользуются жесткими блокировками файлов, как это делается в win, когда для обновления какой-нибудь dll-ки нужно перегрузить машину, чтобы система заменила её до подключения.

-

2 случайный имя:

> А кто мне мешает детачнуть файл и сделать /bin/sh cherwjak.sh ??

Только одно - уровень пользователя :)
Либо ты достаточно хорошо знаешь ОС, чтобы сохранить файл, дать ему режим исполнения и запустить, либо являешься простым пользователем, который кроме кликания мышкой ничего не знает.
В первом случае ты сам не захочешь делать такх шуток. Во втором - просто не сможешь по незнанию.

-

2 Геморрой:

> Так сей деятель получил письмо с супер-пупер патчем. И запустил его, по привычке введя
> пароль рута на запрос.

Вопрос - как он смог его запустить, если в письмах не передаются режимы файлов, а ОС по умолчанию ставит rw-**-**- ?
 

Сергей М
17 Dec 2004 7:58 PM
2 A:
> В частном случае - да. В общем это не пройдет.
Согласен, что не все поддается маскараду.

> Например, для DNS
Агрумент?
 

Сергей М
17 Dec 2004 8:09 PM
2 Павел:
Еще одно соображение по поводу апдейта иксов:
При выходе (или, по другому, дерегистрации, логоффе) из сессии Х-сервер перезапускается с нуля с перечитыванием конфига. Так что это не более чем перезалогинится под другим акком.
 

A
17 Dec 2004 9:23 PM
2 Сергей М:

> Агрумент?

Согласен. Прочтя доку на named.conf, я нашел параметр ip_port :)
 

Сергей М
17 Dec 2004 10:03 PM
2 А:
в пользу iptables есть еще один довод. Можно организовать фильтрацию исходящего из тачки (локально сгенерированного) трафика на комбинации dest-port/srcport+uid/gid. и если уж кому-то и пощасливилось прибить например бинд, то он не сможет запустить собственный "эмулятор" если ему по группе/пользователю не положено. Я например, от греха, такую фильтрацию ставлю на все исходящие коннекты на "опасные" порты типа smtp и т.д. Так что если кто и ломанет акк какого нить пользователя на серваке, то он не сможет рассылать от его имени спам (напрямую, не через мта) чтоб он ни делал. Ну пока рута не получит, есессно, но это уже другая тема.
 

domician
18 Dec 2004 1:06 AM
2 PTO

про аналог ПАМ в NT отвечать на надо, это я знал, но забыл... конечно, с самой первой версии NT можно было подключать пакеты аутентификации
 

domician
18 Dec 2004 1:13 AM
2 Сергей М

> Для этого даже не надо ничего в ядре менять: Апач слушает на порту > 1023 на лупбеке, а 80 порт с внешнего интерфейса через DNAT "рутится" туда.

а собсно такой вариант я и предложил, с редиректом портов

2 PTO

доклад Кена Томпсона старый... 1990 г. датирован... тогда опенсорс был ну как бы не очень развит... а вот сейчас это массовое явление (ну по крайней мере для линукс)... можно ссылку на материал поновее?

и про Юнисис и гарантию аптайма больше подробностей... их сервер и железками и драйверами должен быть, или фирма, которой нужна гарантия, может получить на свой... сколько стоит... сам договор какой - тут юрист-линуксоид хочет посмотреть детали, что и как гарантируется... и как собсно Юнисис следит, что аптайм соблюдается, чтобы фирма не могла выставить претензии необоснованно, вот мол вы гарантируете 4 девятки в год, а у нас больше веб-сервер или почта были недоступны

 

A
18 Dec 2004 11:09 PM
2 Сергей М:

Гм... Интересный подход к возможностям iptables :)
 

Сергей М
19 Dec 2004 12:00 AM
2 A:
А мы не пальцем деланы :)
 

Aleta - kuser_netmail.ru
19 Dec 2004 1:40 AM
Давно нужно гнать в шею Микрософт, с своими багами! Еще меня удивляют админы, которые кроме виндовс в своей жизни ничего не настраивали. Вот я,например, использую Mandrake 10.0 уже 7 месяцев и пока без приключений. Хотя проблемы с компиляцией исходников возникают... но это уже другой вопрос
 

domician
19 Dec 2004 1:43 AM
2 A

а клиенты на лин + самба на лин - тогда ПАМ все равно не задействован? по каким протоколам тогда идет аутентификация
 

A
19 Dec 2004 1:51 AM
2 domician:

И smb-сервер, и smb-клиент не используют PAM. Причины я объяснил раньше. Кроме того, клиенту-то он зачем нужен ? PAM предназначен для тех, кто управляет пользователями, а не для тех, кто ими представляется.

Единственное использование PAM вместе с smb-протоколом - это использование NT-домена для аутентификации пользователя или подобная схема. Например, при входе в систему или на squid-е для сквозной аутентификации пользователей домена при доступе к инету.
 

Сергей М
19 Dec 2004 12:15 PM
2 Aleta:
а что было 8м месяцев назад?

багов и експлоитов хватает и в открытокодных *никс. Просто в этом случае у админа есть возможность сразу по опубликовании информации об эксплоите самому оценить риски, принять решение о том что делать и при необходимости и наличии потенции, разумеется, самому поправить положение не завися от кого либо. Вирописатели отреагировали на информацию об IFRAME гораздо быстрее чем МС, о результатах мы все знаем.

А право на существование имеют обе ОС, просто каждый админ должен принять для себя решение (и обосновать начальству :)) что ему проще - переучивать всех юзеров на *никс, иметь трудности из-за неполной стыковки по протоколам, форматам и фичам (хотя всего этого сатновится всё меньше и меньше, слава Богу) или иметь головняк когда сервак ложится из-за IFRAME, например. Иными словами - всё должно быть сбалансировано.
 

ANN
20 Dec 2004 7:46 AM
... "когда сервак ложится из-за IFRAME"
имеется ввиду tag HTML? Как сервер может лечь из-за IFRAME?

Я не администратор, и даже не учусь :), но использовать сервер как рабочую машину и ходить с него в интернет - это надо умудриться.

Багов в продуктах от Microsoft - хватает, и иногда очень странных: например у ребят вылетал SQL Server на некоторых конструкциях, приходилось перефразировать :). Однако, по личному ощущению, количество багов у МС часто меньше чем у конкурентов.

… "Давно нужно гнать в шею Микрософт, с своими багами! Еще меня удивляют админы, которые кроме виндовс в своей жизни ничего не настраивали. Вот я,например, использую Mandrake 10.0 уже 7 месяцев и пока без приключений"

Прочитал... и сразу подумал: может гнать лучше админов?
У нас их нет (админов) и сервера работают 4 года без падений, было бы и больше, но компания молодая.
Просто ни у кого нет времени ставить лишние сервис паки и играть с настройками TCP/IP, повышая квалификацию.

Хотя, должен заметить, есть планы перехода на Linux. Уже даже стоят несколько, но в другом подразделении, но это больше политическое решение чем практическая необходимость.
Нет, не правильно, ето чисто политическое решение: "We need Enterprise Level Application" - ...
Ну и нащет "бесплатноси": Linux может и бесплатен, но все вместе нам обходится около 60К, что гараздо дороже, чем решение на базе Windows.
Вот так вот.
 

Сергей М
20 Dec 2004 7:52 AM
2ANN:
А почему вы считаете, что если сервер, то обязательно чисто-файловый (хотя похоже что в вашем случае именно так иесть)? Вам не приходило в голову, что mshtml можно использовать, в том числе, для генерации веб-контента?
 

Сергей М
20 Dec 2004 8:01 AM
Классный перл!
"лишние сервиспаки"
 

ANN
20 Dec 2004 9:06 AM
2 Сергей М
>Классный перл!
>"лишние сервиспаки"
Да, и правду неплохо выдал :-)
На счет сервер паков - ето я конечно загнул. Я имел ввиду просто updates. :)

Да нет, не только file server: 1 domain controller, 1 development server, 2 test server'a – иммитация production'a, 1 firewall. Все ето работает, и достаточно активно, особенно девелопмент, и тестовые сервра (QA без дела не седят)

"Вам не приходило в голову, что mshtml можно использовать, в том числе, для генерации веб-контента?"
Нет, не приходило, да и сейчас, честно говоря, с трудом соображу как его использовать...
 

Chkaloff
20 Dec 2004 9:26 AM
2 Сергей М:
мне тоже с трудом приходит в голову как и зачем mshtml.dll можно использовать на стороне сервера для генерации контента.
Раскажите по подробнее.
 

Сергей (LW)
20 Dec 2004 10:59 AM
Ух, какая жаркая полемика! А по теме никто ничего не скажет?
 

Сергей М
20 Dec 2004 11:26 AM
Сергей (LW):

Да видимо всем надоел "эхотаг"

заинтересованным mshtml:

создайте файл test.js, поместите в него нижеприведенный текст и запустите. примерчик убогонький, но никто не говорит, что так нужно "извращаться" для создания странички в три строки. Этот подход облегчает работу особенно когда результат зависит от сильно варьируемого набора входных данных. Чаще всего, правда эту проблему можно решить используя XML DOM.
<---cut--->
var ie = new ActiveXObject("InternetExplorer.Application");
ie.navigate2("about:blank");
for (; ie.ReadyState != 4;); // READYSTATE_COMPLETE = 4
var theDoc=ie.Document;
var oTable=theDoc.createElement("TABLE");
var oTBody=theDoc.createElement("TBODY");
var oRow=theDoc.createElement("TR");
var oCell=theDoc.createElement("TD");
var oCell2=oCell.cloneNode();
oRow.appendChild(oCell);
oRow.appendChild(oCell2);
oTable.appendChild(oTBody);
oTBody.appendChild(oRow);
theDoc.body.appendChild(oTable);
oCell.innerHTML="Cell 1";
oCell2.innerHTML="Cell 2";

WScript.echo(theDoc.body.innerHTML);
<---cut--->
 

Геморрой
20 Dec 2004 12:09 PM
2(A) В "чайниковских" версиях Линукса от АЛЬТа как раз можно было запустить аттачмент. Из-под КДЕ/Гнома кликом на правой кнопке мыши и выбором опции контекстного меню. Обычно выдается один запрос на пароль рута - для запуска по МИМЕ, а здесь выдался еще один - для отымления. И чел ничего не заподозрил. И это не баг, а именно облегчение существования чайнику.
Кстати, а сможет обычный юзверь проделать все то, что обсуждалось ниже? Сомнительно.
Так что количество дыр в системе - фигня, по сравнению с дырами в головах.
 

Сергей М
20 Dec 2004 12:17 PM
> Так что количество дыр в системе - фигня, по сравнению с дырами в головах

"Эт точно"
(с) Сухов
 

Skull - sibskullmail.ru
20 Dec 2004 12:27 PM
2случайный имя: "А кто мне мешает детачнуть файл и сделать /bin/sh cherwjak.sh"

А кто тогда мешает поверить надписи format c: ? Вы не путайте произведение сложный действий вручную с автозапуском программ из почтовиков и запуска по одному щелчку мыши...
 

Chkaloff
20 Dec 2004 12:28 PM
2 Сергей М:
ок. положим вы так генерите HTML, хотя мы используем более другие способы для этого. Но как вирус, который расчтан на уязвимость Iframe положит сервер благодоря этому?
 

Сергей М
20 Dec 2004 12:49 PM
> Но как вирус, который расчтан на уязвимость Iframe
дело не в IFRAME
дело в дырявости продукта.
Я так не только HTML генерю (в прочем только иногда).
Я так генерю xls, word и т.д, когда надо отдать документ в нужномформате
 

случайный имя
20 Dec 2004 1:42 PM
2Сергей М:

как, в данном случае, дырявость продукта (при этом вопрос - какая) влияет на рабоспособность процедуры генерации контента? :) Или вы сами себе злобный буратино - генерируете плохие тэги? :)

html лучше создавать через XML DOM. Он потом легко при помощи очень коротенького (пару-тройку строк) xsl преобразуется в html. Главное, заголовок нужный сделать. Тем более, это будет все очень быстро. MSXML - один из быстрейших парсеров для xml

Другое дело, если его парсить, входяший html. Там можно, вроде, нарваться на проблемы. Но, опять делать это проще через xml.
 

случайный имя
20 Dec 2004 1:46 PM
2Skull:

Это уже давно все заблокировано, если вы про Outlook Express. Еще в те времена, когда kmail &amp; thunderbird ходили под стол в горшок. Наиболее популярный теперь вид такой дряни - открыть парольный архив (пароль заботливо в письме указан), распаковать оттуда файл и запустить. KMail &amp; Thunderbird &amp; прочие просто учли ошибки OE (было бы странно, если было бы иначе). ОЕ в данном случае был первопроходцем. Насколько я помню, в те времена ( :)), когда появился OE, такого почтового мусора даже и не предвиделось...

P.S: более того, MS как-то доблокировалась до того, что exe файл вообще невозможно было вытащить из письма. Приходилось это делать весьма нетривиальным способом
 

Сергей М
20 Dec 2004 1:53 PM
2 случайный имя:
> как, в данном случае, дырявость продукта...
Дело в том, что не всегда приходится работать с данными, которым можно доверять. Например, создается сайт, с возможностями кастомизации эндюзером но без изменения непосредственно кода, т.е. куски штмля лежат в базе данных (и возможно некорректные, см ниже, в этом посте).

> html лучше создавать через XML DOM.
Я об этом упоминал ранее

> если парсить входяший html....но ... это проще через xml.
нет. не проще - безопаснее. xml может отпарсить только корректно сформатированный документ (т.е. полностью удовлетворяющий требованиям W3C XHTML)
 

Пётр
20 Dec 2004 5:25 PM
опять до бреда доболтались.
 

Chkaloff
20 Dec 2004 8:57 PM
2 Сергей М:
По сему выходит, что это искусственная проблема. Широко распространенные вирусы на это не действуют. А если это рассматривать в качестве уязвимости сервера, то эта уязвимость ничем не отличается от других уязвимостей, за исключением того, будет крайне мало распространена, если вообще будет.
 

Сергей М
20 Dec 2004 9:42 PM
Блин компот. Что вы привязались к IFRAME. Что, в IE мало других дыр, которые к черту убивают возможность его использования в "неконтролируемой" среде?
 

случайный имя
20 Dec 2004 10:01 PM
2Сергей М:

дык пример, плиз, проблемы в ИЕ, могущей заразить сервер, и срабатывающей в автоматическом режиме (О! сервер ночью сам по порнушкам лазит!) ? :)))
 

Сергей М
20 Dec 2004 11:09 PM
случайный имя:
не хочу повторять всю дискуссию относительно реюза mshtml при генерации контента.
 

Сергей М
20 Dec 2004 11:34 PM
случайный имя:
Хотя вы сами подсказали мне пример:
рейтинговая или поисковая система а-ля alexa и google соответственно, хранящая "скриншоты" сайтов. Очевидно, что скриншоты строятся автоматически.
 

Пётр
21 Dec 2004 10:22 AM
2 Сергей М. И кто же это будет автоматически генерить html код на сервере, который пользуется уязвимостью в IE? Человек имеющий локальный доступ к консоли сервера?
 

Skull - sibskullmail.ru
21 Dec 2004 10:28 AM
2случайный имя: "Это уже давно все заблокировано, если вы про Outlook Express"

Как же! Пользователи начинают матерится, что не могут открыть вложения. А при открытии вложений лезут вирусы. Концептуально они проблему не решили...

"KMail, Thunderbird и прочие просто учли ошибки OE"

Нет, они ИЗНАЧАЛЬНО из-за архитектуры Unix не позволяют запускать исполняемые файлы одним кликом. :)
 

случайный имя
21 Dec 2004 12:03 PM
> Нет, они ИЗНАЧАЛЬНО из-за архитектуры Unix

т.е. ассоциации файлов не работают? :)

> "Пользователи начинают матерится, что не могут открыть вложения. А при открытии вложений лезут вирусы"

"нисыво ни панимаю"...
 

случайный имя
21 Dec 2004 12:04 PM
"рейтинговая или поисковая система а-ля alexa и google соответственно, хранящая "скриншоты" сайтов. Очевидно, что скриншоты строятся автоматически. "

эээ.. а разве активХ mshtml позволяет взять "скриншот"?
 

Сергей М
21 Dec 2004 3:49 PM
2 случайный имя:
> эээ.. а разве активХ mshtml позволяет взять "скриншот"?
Он позволяет загрузить страницу и отрендерить ее на GDI Device Context. В данном случае быстрее написать "фейковый" принтер-драйвер (или ваще готовый растровый взять и печатать в файл), чем хороший рендерер штмл. Под вынь альтернатив не много, и эта лежит на поверхности. Но в силу того, что невозможно взять и повыкусывать физически из ИЕ все ненужные в этом случае "фичи", или хотя бы произвести экспертную оценку безопасности кода, IE и не канает. Портировать из под юникса что-нибудь смысла нет, потому как проще взять юникс. Использовать для этой цели Мозиллу тоже не очень эффективно, потому что она не совместима с сом (в этом я не уверен на все 100, но кажется так), хотя и использует аналогичный принцип построения взаимодейсвий между объектами.
 

Сергей М
21 Dec 2004 3:52 PM
2 Петр:
см "20 декабря, 2004, 13:53 - Сергей М", первый абзац
 

Сергей М
21 Dec 2004 4:07 PM
2 случайный имя:
> написать "фейковый" принтер-драйвер
Можно конечно попробовать заставить его отрисоваться на хендле битмапа в пямяти, но боюсь, что этот номер не пройдет, так как ИЕ, скорее всего сильно "умный"
 

Skull - sibskullmail.ru
21 Dec 2004 4:21 PM
2случайный имя: "т.е. ассоциации файлов не работают"

Работают! Только файлы открываются в приложениях для просмотра. Выполняемый файл запустить из письма весьма нетривиально - надо сохранить его, поставить бит выполнения и только после этого запустить из локальной файловой системы. :)

> "нисыво ни панимаю".

Типа, защита в OE только "не открывать вложения, которые могут содержать вирусы"? Я честно скажу, что работаю с OE крайне редко и, возможно, что-то пропустил... :)
 

Пётр
21 Dec 2004 4:35 PM
"Выполняемый файл запустить из письма весьма нетривиально - надо сохранить его, поставить бит выполнения и только после этого запустить из локальной файловой системы"

А где гарантия, что в этом исполняемом файле нет вируса?

Открывает вложения - плохо, не открывает - тоже плохо.
"нисыво ни панимаю" :-)
 

Skull - sibskullmail.ru
22 Dec 2004 12:33 PM
2Пётр: чего уж не понять! Проблема Винды IMHO в том, что там слишком просто запустить исполняемый файл (фактически в один клик). Поэтому и не иссякают эпидемии вирусов, суть которых в слишком простом открытии файла на его исполнение, а не чтение соответствующей программой. :(
 

fi
22 Dec 2004 2:36 PM
> KMail, Thunderbird, прочие просто учли ошибки OE (было бы странно, если было бы иначе). ОЕ в данном случае был первопроходцем.

У ОЕ свои проблемы ;-))). Всё таки бит исполнения очень разумная вещь с точки зрения семантики. Можешь закликаться по файлу, но если это данные, таже в формате ELF, их может открыть только другая программа.

Кстати, если бы мс делала свой проводник на Linux, то наверно он бы игнорировал этот бит :-D, как это делается в случаи HTTP header.
 

chkaloff
22 Dec 2004 9:47 PM
2 fi:
если кто не знает, то на винде тожн есть разрешение выполнения.
кроме того есть еще и запрещения.

Вообще на мой взгляд там это богаче все сделано. Другой вопрос, почему они (это не используют)? Они и на програмном уровне могли бы запрещать исполнение, для всех атачментов.

Естественно при плохом программировании, это можно забыть сделать. МС могла бы пойти дальше, и сделать non-execution temp folder. Проблем бы было меньше.
 

Сергей М
23 Dec 2004 9:28 AM
2chkaloff:
проблемма МС как раз в том и состоит, что у них исторически все разрешено по-умолчанию, чтоб любой чайник мог удалить что ему заблагорассудится. Теперь они по-тихоньку начали "закручивать гайки", а мы пожинаем плоды - ловим вирусы. А насчет того что побогаче, это ты просто не в курсе. на *иксах уже давно есть acl, в дополнение к классическим rwxrwxrwx.
 

Chkaloff
23 Dec 2004 11:06 AM
2 Сергей М:
чисто ради расширения кругозора давайте сравним acl на файловом уровне там и там.

В винде есть следующие виды разрешений для папок / файлов:
1) Полный доступ
2) Обзор папок / выполнение файлов
3) Чтение содержания папки / чтение данных
4) Чтение атрибутов
5) Чтение экстендед атрибутов
6) Создание файлов / запись данных
7) Создание папок / дозапись данных
8) Запись атрибутов
9) Запись ехтендед атрибутов
10) Удаление папок / удаление файлов
11) Удаление
12) Чтение acl
13) Смена acl
14) Смена владельца

Бывают в acl как разрешения, так и запрещения. Например, я могу скажем узеру разрешить все на что имеют право пользователи из группы "пользователи", но отдельные вещи запретить.

Разрешения/запрещения могут наследоваться сверху. На один и тотже объект одни права могут наследоваться, в то время как другие назначаться. Наследование может прерываться.

acl могут назначаться локальным пользователям и группам, служебным группам типа "аутонтифицированные пользователи", объектам AD.
 

Tolik
23 Dec 2004 11:19 AM
2 Сергей М

А какой функцией mshtml можно отрендерить html в произвольный контекст GDI? Одно время искал - не нашел
 

NoName
23 Dec 2004 11:55 AM
2Chkaloff:"Разрешения/запрещения могут наследоваться сверху. На один и тотже объект одни права могут наследоваться, в то время как другие назначаться."

Вот только owner'у на это наследование начхать, хоть за запрещайся.

Короче расширяйте кругозор молодой человек, только пожалуста не по рекламным проспектам.

Сейчас прибижит PTO и будет доказывать что чёрное это на самом деле белое :)
 

Chkaloff
23 Dec 2004 5:05 PM
2 NoName:
Нефига не начхать. Я овнер, поставил у файла заперщение на запуск, он не запускается больше. Так что читать не рекламные проспекты а документацию, предлагаю лично вам.
 

Пётр
23 Dec 2004 5:59 PM
и потом, овнером могут быть по умолчанию только админы. а работать под админом не обязательно.
 

NoName
23 Dec 2004 8:16 PM
2Chkaloff:

Советую для начала учить русский язык, у тебя проблемы с пониманием того что по русски написано: "Вот только owner'у на это наследование начхать, хоть за запрещайся."

Ну и прекращай проспектики читать, читай доку.
 

NoName
23 Dec 2004 10:44 PM
2Пётр: "и потом, овнером могут быть по умолчанию только админы."

Вот это перл ! PTO будет доволен уровнем знаний продвинутых винпузоидов... :)
 

Дима
24 Dec 2004 1:43 AM
О! Вы хотите поговорить за систему прав в NT?
 

A
24 Dec 2004 6:51 AM
Во блин ! Народ еще не угомонился :)
 

fi
24 Dec 2004 7:05 AM
то Дима

Как раз в тему: "обнаружило в Linux мало ошибок", вот на NT переключились :-D
 

Пётр
24 Dec 2004 10:30 AM
ну хорошо, не так выразился. по умолчанию только админы имеют право взять овнершипство на себя. А вот овнер может права раздать по собственному усмотрению, в том числе и себе. и что это меняет?
 

Пётр
24 Dec 2004 10:50 AM
http://www.microsoft.com/resources/documentation/WindowsServ /2003/standard/proddocs/en-us/Default.asp?url=/resources/doc umentation/WindowsServ/2003/standard/proddocs/en-us/sag_SEco nceptsUnOwn.asp
 

NoName
24 Dec 2004 1:00 PM
2Пётр:

Ни ты, не Очкалофф похоже нихрена не шарите, что собствнно говоря не удивительно для винпузоидов. К тому же ты первый раз жидко обделался по незнанию. Отмазы что не так выразился не канают, так как доку надо было сначала читать,а потом мудями трясти.
Ещё раз для тех кто в танке : "owner'у на это наследование начхать, хоть за запрещайся" а теперь задействуй кумеку (если она конечно присутствует)
 

Дима
24 Dec 2004 2:24 PM
2 NoName: поясните, какой смысл Вы вкладываете в понятие "на наследование начхать, хоть за запрещайся"?
 

Пётр
24 Dec 2004 2:48 PM
Если Вас не понимают - это не значит, что кругом дураки. Хотя что, что ещё от линуксоидов можно ожидать, кроме оскорблений.
 

Пётр
24 Dec 2004 2:59 PM
сидит, блин, "учитель" русского языка. Вы бы грамматику русского языка, для начала, выучили, а потому уже "мудями трясти" приходили бы перед приличными людьми.
 

NoName
24 Dec 2004 3:48 PM
Пётр, если ты такой тормоз, то это твои трудности потому-что ты твердолобый винпузоид (с виндузоидами ничего обещего кроме используемой OS не имеющий)
 

NoName
24 Dec 2004 4:07 PM
Дима, смысл прямой.
 

Дима
24 Dec 2004 5:41 PM
2 Noname: Категорически не могу представить себе owner'a, в прямом смысле чихающего на наследование. В соответствующих терминах пересказать можете?
 

NoName
24 Dec 2004 6:03 PM
2Дима:

Хорошо, представь себе что у тебя развесистое дерево каталогов на файлпомойке у которых права наследуются. И тут приходит злой овнер (ну это тот который имеет) и криэйтит файло в одном из каталогов. Я понятно изъясняюсь ? :)
 

Дима
24 Dec 2004 6:13 PM
2 Noname: Пока да
 

NoName
24 Dec 2004 11:51 PM
2Дима:

Продолжим. А после приходит умный админ windows,ставит deny нашему овнеру на его файло и рапортует начальству что мол этот мудак (овнер) теперь в обломе. happy end.
 

Дима
25 Dec 2004 12:07 AM
2Noname: Неверно. Во всех каталогах, где пользователь может создавать файлы, право на исполнение должно быть уже отобрано.
Так что админ разве что ставит аудит на change permission.
 

NoName
25 Dec 2004 12:15 AM
В аот это http://www.udaff.com/photo/page2229.html вааще в тему :)
 

NoName
25 Dec 2004 1:48 PM
2Дима:" Неверно. Во всех каталогах, где пользователь может создавать файлы, право на исполнение должно быть уже отобрано.
Так что админ разве что ставит аудит на change permission"

Могу поздравить тебя со вступлением в общество винпузоидов :))
 

NoName
25 Dec 2004 1:50 PM
Фся фигня в том что у овнера полный доступ к объекту владения независимо от того какие ему права назначены. It's a Microsoft world.
 

Дима
25 Dec 2004 3:42 PM
На самом деле, вся фигня в том, что кое-кто пишет о предмете, в котором сам не разбирается. Сам проверял-то, хотя-бы, прежде чем написать?

Иными словами -- "у овнера полный доступ к объекту владения независимо от того какие ему права назначены. It's a Microsoft world. " -- неверное утверждение.
 

NoName
25 Dec 2004 8:04 PM
2Дима :

Послушай сынок, может ты пойдёшь доки почитаешь, а ? :)
 

Дима
25 Dec 2004 8:47 PM
Буду краток: Сынком меня называть еще женилка не выросла.

По сути. Еще раз спрашиваю: сам проверял то, что утверждаешь?
 

NoName
25 Dec 2004 9:10 PM
Сынку Диме : я прораммировал тулзень которая именно эту особенность выправляла путём отбирания ownership'а. Читай доку про DACL сынок, так как моя женилка поболее твоей будет.
 

Пётр
26 Dec 2004 12:39 AM
А теперь садимся и вчитываемся в собственноручно запостенную сюда ссылку.

"An object's owner implicitly has WRITE_DAC access to the object. This means that the owner can modify the object's DACL, and thus, can control access to the object."

Что означает, что овнер может модифицировать права доступа к объекту. Это не значит что он может исполнять что-то. Если ему запретили исполнение, то он должен дать себе право исполнения, а после этого исполнять файл. Если же включить аудит на изменение прав доступа, то можно ситуацию отследить. Так что - иди расти женилку.
 

Black Bat
26 Dec 2004 12:41 AM
to NoName:

ты уже сам сказал про себя - иди учи русский язык, чтобы уметь понятно выражать свои мысли!

P.S. и вот это есть типичный линуксоид - невежливый, необразованный, немытый...
 

NoName
26 Dec 2004 1:47 AM
Пётр: ты тормоз, если ты не догнал то повторяю ещё раз для тебя тупицы "у овнера полный доступ к объекту владения независимо от того какие ему права назначены" в чём ты и убедился по ссылке. У тебя женилка до моей ешшо не доросла, ну ничё, пубертет пройдет, прыщи изчезнут, всё будет в порядке (после лаботомии)

2 Black Bat : мартышка, я не линуксоид. а если тебе по ночам красные глазки спать недают, позови маму, она тебе сказку про белого бычка расскажет
 

Дима
26 Dec 2004 12:36 PM
Мда. Случай уже, похоже, клинический. Я бы сказал, некоторое отсутствие корреляции с реальностью. Плюс неспровоцированное хамство.

Но все же: у владельца объекта НЕТ гарантированного полного доступа к объекту. У владельца объекта есть только одно неотчуждаемое право: WRITE_DAC или Change permission. Так написано в документации и так оно и есть на самом деле. Проверить это очень просто.

Например, создаем файл noname.txt. Затем назначаем ему ACL:Everyone-Deny all. Затем пытаемся прочитать и получаем, как и ожидалось, Access Denied.

Что надо сделать, малоуважаемый NoName, чтобы продемонстрировать "у овнера полный доступ к объекту владения независимо от того какие ему права назначены".

Особо хочу подчеркнуть, что хамство и грубость никоим образом ничего не доказывают -- кроме невоспитанности хама.
 

Skull - sibskullmail.ru
26 Dec 2004 1:32 PM
2Black Bat: типичные линуксоиды геморроем виндузячьим не занимаются :)
Проблемы и тон NoName выдают в нём бедного затюканного виндузятника. :)
 

NoName
26 Dec 2004 1:41 PM
2Дима:

Если owner может менять права доступа то это значит :

"у овнера полный доступ к объекту владения независимо от того какие ему права назначены."
и
"owner'у на это наследование начхать, хоть за запрещайся"

А если ты дважды два сложить не можешь то видать мал ещё.
 

Дима
26 Dec 2004 2:06 PM
Увы, нет. Возможность получить права не означает автоматического их наличия. Напомню, что речь изначально шла о сценарии, в котором вложенный исполняемый файл автоматически запускается на выполнение. Так вот, возможность изменить права доступа не означает, что у владельца файла автоматически при создании есть права на его исполнения. Точка.
 

Simon
26 Dec 2004 3:05 PM
2Дима&amp;Пётр: ну просто детский сад какой-то. То говорим, что +x любой добавить сможет, а тут - совсем другое дело, тут не просто запустить программу надо, а предварительно проверить, есть ли у тебя права, и если нет, то присвоить. Гигиантское препятствие. Хакеры и опытные пользователи дрожжат в коленях и плачут от бессилия, а благодарные администраторы боготворят Единственную Что-либо Смыслящую в Программировании Корпорацию за лёгкую и приятную жизнь. Ладно, боголепство не исправишь. Всех с наступающим Новым Годом, быстрых надёжых вам IT решений!
 

NoName
26 Dec 2004 3:14 PM
2Дима: реч не шла о том о чём ты тут распинаешься, речь шла о наследовании прав которые owner'у побоку.

Я цитирую :

"2Chkaloff:"Разрешения/запрещения могут наследоваться сверху. На один и тотже объект одни права могут наследоваться, в то время как другие назначаться."

Вот только owner'у на это наследование начхать, хоть за запрещайся. "

Либо ты отмотаешь назад, либо ты мальчик с пальчиком.
 

NoName
26 Dec 2004 3:18 PM
2Дима:"Так вот, возможность изменить права доступа не означает, что у владельца файла автоматически при создании есть права на его исполнения. Точка."

Покажи мне сынок, где я сказал обратное насчёт исполнения ? Тебе поможет лаботомия сынок.
 

NoName
26 Dec 2004 3:20 PM
2Skull красноглазая скотина, если ещё чего-нибудь в мою сторону тявкнешь, отимею как смогу.

2Дорогая Редакция : недеюсь теперь не будет повода удалять пост, матов-то нет ;)
 

Пётр
27 Dec 2004 9:46 AM
2 Simon. То есть Вы хотите сказать, что права себе может присвоит любой? Ну-ну.
 

Skull - sibskullmail.ru
27 Dec 2004 11:02 AM
2NoName: слюной смотрите не захлебнитесь, гомосексуалист вы наш :)
 

NoName
27 Dec 2004 11:04 AM
2Skull: ага, понятно почему ты вдруг своё мыло даёшь, на стрелку набиваешься. Ну что ж, запасайся вазелином, тренеруй анус...
 

Дима
27 Dec 2004 11:05 AM
2Simon: Речь шла не о хакерах, а о почтовых червях. Потом речь пошла о линуксе, в котором червей, якобы, быть не могло из-за бита X. Потом речь пошла о правах в NT. Потом речь пошла о наследовании прав. Потом речь пошла о том, что наследование прав для владельца файла не работает...
 

Дима
27 Dec 2004 11:14 AM
2 Noname: Представим каталог на диске с правами:

Everyone: Full Control
Everyone: Deny Execute Files (Files Only).

Пользователь создает там файл virus.exe.

Вопрос 1: Какие права доступа получит иметь этот файл при создании?

Вопрос 2: Если этот файл -- автоматически извлеченное вложение, будет ли он так же автоматически выполнен?

Ответив на эти вопросы, получим ответ и на главный вопрос: "Есть ли у owner'а всегда полный доступ к объекту владения?"
 

NoName
27 Dec 2004 11:39 AM
Сынку Диме: До тех пор пока owner имеет WRITE_DAC он имеет полный доступ к объекту владения. Базар окончен. Если не допёрло, то читай доку до посинения.
 

NoName
27 Dec 2004 11:41 AM
2Сынку Диме : на то запустится ли файл мне положить, речь шла о том что овнер чихать хотел на наследование прав.
 

Пётр
27 Dec 2004 11:45 AM
2 Дима. Дальше злобный хакер регистрируется в системе под пользователем, который создал файл. Даёт себе право исполнения. И запускает вирус. Всё просто :-)
 

Пётр
27 Dec 2004 11:47 AM
главное что изменение прав происходит тихо и незаметно. :)
 

Дима
27 Dec 2004 2:30 PM
Буду занудным. Я проверял, файл не запустился. Если

1. "owner'у на это наследование начхать, хоть за запрещайся"
2. "у овнера полный доступ к объекту владения независимо от того какие ему права назначены"

То почему он не запустился?
 

случайный имя
27 Dec 2004 3:49 PM
2Дима:

NoName забыл, что кто-то должен дать права на исполнение файлу :)

кто, интересно, помешает сделать chmod 777 в домашнем каталоге пользователя? :)))
 

vas
27 Dec 2004 4:47 PM
2NoName
Owner файла может сделать что-то с этим файлом только в рамках прав, которые ему (ownery)предоставлены админом, т.е. если на папке стоит флаг запрещающий делать что-то и стоит флаг наследования от родителя, то owner будет иметь сумму своих прав + права родительской папки. Право запрещения исполнения файла на уровне родителя отменяют любые разрешения ownera. Снять флаг на наследование можно только при наличии соответствующих прав. Просто, работая под админом, это как-то не замечается, а если у пользователя нет прав на выполнение программ и нет прав на изменение своих привилегий, то он ничего не сможет сделать, будь он хоть трижды owner. Это было еще с NT4
http://www.microsoft.com/resources/documentation/windowsnt/ 4/workstation/reskit/en-us/security.mspx
 

Black Bat
27 Dec 2004 5:04 PM
to Skull:

ну уж нет, это явно из вашего лагеря пациент: красные безумные глаза и желание крушить всё вокруг!
 

LinFan
27 Dec 2004 6:30 PM
Black Bat: Не там роете батенька - виндузоид он, "голубой"! До "красноглазо-желторотого" не доросли-с.
 

NoName
28 Dec 2004 1:50 PM
2LinFan: пошёл в ж0ny красноглазая тварь
 

NoName
28 Dec 2004 1:51 PM
2vas: погодь чуток, я твои росказни на W3k+WXP проверю.
 

LinFan
28 Dec 2004 2:03 PM
NoName: Мы вас тэж кохаэмо ;)
Линукс - ТАК! Голубой NoName - MUDАК! ;)
 

случайный имя
28 Dec 2004 3:38 PM
2NoName:

будешь пробовать, не забудь про "стоит флаг наследования от родителя". Если его нет и ты owner - "понеслась душонка в рай"
 

vas
28 Dec 2004 4:11 PM
2NoName
Проверяй. Вообще признак owner имеет только одно право: Transfer ownership. Т.е. owner может разрешить (но не передать) взять кому-то владение объектом на себя. Члены групп local administrator, domain admin, enterprise admin могут взять на себя владение файлом без разрешения текущего ownera. И естественно могут поменять при этом любые права.
 

vas
28 Dec 2004 4:27 PM
2NoName
Поправочка. У ownera можно отобрать вообще любые права (Transfer ownership в том числе).
 

NoName
28 Dec 2004 4:46 PM
2vas: тебе не кажется что ты путаешь WRITE_DAC с SeTakeOwnership ? :) У SID'а админов SeTakeOwnership по умолчанию выставлен. Поэтому и могут взять то что плохо лежит (как и в слюниксе root). Что вынь что слюникс - кривая модель безопасности.

Но ты всёравно бойся, поближе к 31 dec попробую, потом тебя порву как тузик тряпку :)
 

NoName
28 Dec 2004 4:52 PM
Кстати, интересно, у r00t'а два [censored] и id какое-то очко (0)
А вообще всех с наступающим. Всяческих баг вам :)
 

ученик
28 Dec 2004 5:23 PM
и Вам дядечка с большой пипиской не болеть в Новом году.
 

NoName
28 Dec 2004 5:27 PM
2ученик: не боись за меня, для сексуальных резвлечений пользую исключительно девайс типа Жена :)
 

LinFan
28 Dec 2004 6:33 PM
NoName: З Новым Роком колы не шуткуете ;) Только ненадо никого рвать - агрессия совсем необязательна :-)
 

NoName
28 Dec 2004 6:39 PM
2LinFan: ну ты прям так и напрашиваешься на роль тряпки :) а агрессия помогает выжить.
 

NoName
28 Dec 2004 6:41 PM
Чё-то сынок Дима заглох. Видать с Пётром ушл в клуб винпузоидов пиписьки мерять :)
 

vas
28 Dec 2004 6:50 PM
2NoName
Ну хорошо owner имеет всегда на свой объект READ_DAC и WRITE_DAC, но это не значит что он может изменить параметры доступа к файлу таким образом, что бы отменить разрешения унаследованные от папки. Для этого и делаются общие папки приложений, на которые есть права read&amp;execute, но нет прав на создание/модификацию/удаление и т.д. файлов и папки данных для пользователей, где есть права на чтение/создание/модификацию/удаление, но нет прав на исполнение.
Пользователь при этом может быть owner(он же создал эти файлы), но на безопасности системы это не сказывается(он не может их исполнить).
 

LinFan
28 Dec 2004 8:50 PM
NoName: Не помогает агрессия - доказано у нас на практике :) А особо агрессивным у нас напоминают: "НАС БАГАТО..." и т.д. Так что шановный шукайте тряпцюган у иншому мисти ;)
 

NoName
28 Dec 2004 9:07 PM
Слышь ЛиньПропеллер, ты эта, горилки выжрал или где ? :)
 

NoName
28 Dec 2004 9:10 PM
А топик-то шишку держит :)
 

NoName
28 Dec 2004 9:15 PM
Пилять, вот мы нажралист-то 8)
 

Дима
29 Dec 2004 12:04 AM
Я все еще жду ответа на свой вопрос.
 

LinFan
29 Dec 2004 2:01 PM
NoName: :-) Это ты там, а я тут, в незалежной :) И пить на работе - не принято. Мерликанци цього не люблять :) Американские валенки могут отобрать ;)
 

Дима
29 Dec 2004 5:34 PM
2 LinFan: http://haritonov.kulichki.net/stories/llife.htm
Впрочем, поживем - увидим.
 

LinFan
30 Dec 2004 2:23 PM
Дима: Ну що казаты... :( Читать обидно... Догадайся с трех раз, кто это придумал. Время покажет.

ЗЫ. Алтернативные линки в ваш адрес приводить или сам в гугле найдешь? ;)

З Новим Роком усiх! З Рождеством Хрестовим! Хай щастить усiм!
 

Дима
1 Jan 2005 6:48 AM
Ну... С Новым Годом!!!

Все-таки безлимитный ADSL -- это в чем-то хорошо...
 

Кузя
4 Jan 2005 8:59 PM
Вот уж действительно, чтобы избавиться от иллюзий по поводу "братского русского народа", достаточно почитать всю эту гадость на форумах :((( Я вот одного понять никак не могу - если вы так ненавидите Америку и весь цивилизованный мир, то почему вы работаете в IT?
 

Дима
5 Jan 2005 1:26 PM
2 Кузя: Ответ, кстати, очевиден -- "Золотой миллиард" не любят по причинам, не связанным с IT.

И еще: братский украинский народ мы с оранжевой чумой не отождествляем. Я лично, в силу возраста, 1991 год помню хорошо, как и его последствия в краткосрочной и среднесрочной пекспертиве.

Повторюсь: поживем - увидим. Мой прогноз -- сербский вариант. Сколько там сейчас безработных? Сорок процентов, что-ли?
 

Кузя
6 Jan 2005 3:01 AM
Прежде чем рассуждать о прогнозах, для начала неплохо бы извиниться за ту мерзкую ссылку, а также за употребление выражений вроде "оранжевой чумы".
 

Поручик
6 Jan 2005 9:22 AM
2 Кузя

Рыжие - не вся Украина, а в крайнем случае только ее половина. Вторая половина всю эту помаранчевую мишуру откровенно ненавидит.

Точно так же Америка - не есть вся IT-сфера.
 

БиллиГатес
6 Jan 2005 5:27 PM
2Поручик
>Точно так же Америка

И что, вторая половина Америки, не IT-сфера которая, первую половину тоже того, ненавидит типа? :)))
 

Поручик
6 Jan 2005 5:54 PM
2 БиллиГатес

Прошу прощения. Во второй фразе про ненависть не имелось в виду. :\
 

LinFan
6 Jan 2005 7:20 PM
Поручик: "Рыжие..."

Дарагой, а ты на родине "рыжых" давненько был? А? А зачем тогда лозунги мечешь?

Дима:"братский украинский народ мы с оранжевой чумой не отождествляем..."

А придется... :)

"Мой прогноз -- сербский вариант."

Как писали "классики" - "Каждому - свое" ;) Главное, шоб от души ;)
 

LinFan
6 Jan 2005 7:22 PM
Поручик и Дима: Народ, кончайте бузить - тут у нас праздники, все классно и спокойно, а вы все туда же... Зачем?
 

Дима
7 Jan 2005 1:51 AM
Лично я пытаюсь понять: повод для праздника какой? Каковы _объективные_ причины радоваться?

История, например, никаких поводов для радости не оставляет.

Призываю: посмотрите на вещи трезво, выйдите из виртуальной реальности. Я же, бл.ть, эту виртуальность уже научился распознавать, на примере россиянской действительности.
 

Дима
7 Jan 2005 2:11 AM
2 LinFan: Не-а, не придется. Я объединения "украинской нации" вокруг идеалов оранжевой революции не наблюдаю. Оголтелые бандеровцы имеются, муж гражданки США имеется, подследсвенная (в международном розыске) имеется, Немцов и Валенса имеются, бюджет в десятки миллионов долларов имеется, зомбирование тоже по полной... Еще имется явно выраженный раскол по территориальному признаку. Да! Еще оплата за транзит газа в роли как бы не главной статьи доходов. И это -- при русофобии как одной из основных тем пропаганды.

И со всем этим ВАМ теперь взлетать -- не нам.
 

БиллиГатес
7 Jan 2005 4:49 PM
Дима, угомонитесь, ради бога... Пока редакция вас не почикала

>Призываю: посмотрите на вещи трезво, выйдите из виртуальной реальности. Я же, бл.ть, эту виртуальность уже научился распознавать, на примере россиянской действительности

А тут вот таких "единственных прозревших на ближайших ста гектарах" дох и больше. Правда, темой Вы слегка не к месту - тут модно раззомбироваться на тему "Империи зла М$" и орать правду-матку про линух-рулез среди глухих виндузячьих ух. Так что мерцать своей озаренностью здесь - неоригинально.

>Еще имется явно выраженный раскол по территориальному признаку

Дима, Вы с Поручиком себе льстите, считая, что Вас таких офигенных много. Где Вы были, когда нужно было отмораживать попу перед статуей дедушки Ленина на одноименной площади? Почему вместо Вас туда выгоняли меня вместе со всей конторой? Точно как линуксоиды - 3-5% "активных" процента, создающих своей крикливостью в форумах иллюзию многочисленности.
 

Дима
8 Jan 2005 9:09 AM
2БиллиГатес: Мне лично очень неприятно наблюдать очередное хождение по граблям.

Про "единственных прозревших на ближайших ста гектарах", "мерцать своей озаренностью", "таких офигенных", "отмораживать попу" -- это у Вас, по-моему, проблемы какие-то. Я, ей-богу, не понимаю, что Вы хотите этим сказать. Откуда мне знать, почему Вас куда-то выгоняли отмораживать попу? Может, это у Вас спорт такой...
 

БиллиГатес
8 Jan 2005 5:39 PM
2Дима:
Попробую по-проще:
1 Не нужно строить из себя единственного зрячего среди толпы слепых. Тут этим никого не удивить. Не говоря уже о том, что это очень спорный вопрос - кто слепой, а кто зрячий.
2 Если Вы такой уж горячий сторонник бело-голубых - пожалуйте на площадь под телекамеры отстаивать свою точку зрения. Там как раз недавно стояла толпа (почему-то с российскими флагами) и я слышал, как "диджей" безуспешно пытался их организовать на коллективное скандирование. Плохо у него получалось. Не велся народ, пофигу ему. Птичку поставить в бюллетене - хрен с вами, поставлю. А вот мерзнуть больше часа-двух - извините. После этого просто смешно читать заявления о ненависти половины страны или об углубившемся расколе.

>Может, это у Вас спорт такой

Нет, это у Вашей политической симпатии методы такие работы с электоратом.

>это у Вас, по-моему, проблемы какие-то

И психологов тут, кстати, тоже хватает. Пообщайтесь, например, с хacidом, он большой знаток комплексов.
 

LinFan
10 Jan 2005 11:06 AM
Дима: Диагноз - PR-жертва. Рекомендации - изоляция от телевизера и Рунета ;)

Кстати, БиллиГатес правильно заметил - голубые все у нас пассивные (что в принципе и не удивительно :) Поэтому все страсти-мордасти которые показывают у вас по ящику так в ящике и останутся. Увы, это фахт! А вот оппонеты выше упомянутых меньшинств, (линуксоиды кстати по моим личным наблюдениям тоже в рядах "рыжых") активны и "отмораживать попу" перед памятником Иллича выходили несговариваясь и отнюдь не за деньги (денег бы не хватило).

Поэтому, еще раз прошу вас - успокойтесь. У нас все нормально. Никто никого не фобит. Что получится - побачим :)
 

LinFan
10 Jan 2005 11:15 AM
А пока порадуемся что в Linux мало ошибок и совсем нет свежих вирусов. А у соседа вон XP тапками накрылась - целый день бедный девелопер с матюками переставлялся. Мелочь - а приятно. А говорил ему админ - ставь апдейты вовремя и не шляйся по порносайтам;)
Как правильно заметил БиллиГатес - будет и на линуксячей улице праздник (поминки M$ ;)
 

Дима
10 Jan 2005 11:20 AM
2БиллиГатес: Откуда следует, что я "горячий сторонник бело-голубых"?

2LinFan: Телевизор я, кстати, не смотрю. Для того, чтобы составить некоторое представление, достаточно почитать maidainua.org и почитать высказывания "оранжевых" в форумах.

P.S. Кстати, приветствуются ссылки на стенограммы выступлений на майдане. Желательно, конечно, в переводе на русский.
 

LinFan
10 Jan 2005 12:39 PM
Дима: "...чтобы составить некоторое представление, достаточно почитать maidainua.org..."

Странно, мне казалось, что лучше на месте посмотреть... Ну раз достаточно... А насчет форумов, гм... я бы не сказал и читать не советовал. От матюков в адрес "рыжых" уши трубочкой сворачиваются. Показатель однако ;) Завидують...
 

LinFan
11 Jan 2005 9:52 AM
Дима: Просили ссылки на стенограммы выступлений?
Специально для вас ;)
http://chysto.com/media/Dj_Turbulance_-_Janukovych_Frau_Rem ix.mp3
http://chysto.com/media/Nakolotye.mp3 (фрау Янукович вещает)

Ну а это сложно - на малороссийском наречии :)
http://chysto.com/media/spovid.mp3 (Проффесор Янукович вещает)
Кстати, там же масса других ("рыжых") выступлений.
 

LinFan
11 Jan 2005 9:55 AM
Дима: Как порядочный человек вы должны нас поздравить ;)
http://unian.net/ukr/news/news-66821.html
Venceremos!
 

none
11 Jan 2005 9:43 PM
2LinFan: а есть чему радоваться-то (за рыжих)?! Они теперь скорее звездно-полосатые ;)
Поставять вам базы НАТО в Севастополе (за малое бабло ;)
И винда будет - официальным курсом правительства, с молчаливого одобрения америки и ЕС :)
А вот о членстве (в ЕС) - мечтать токмо останется (как Польше и Турции)
Боюсь - прийдется Вам поменять свои пристрастия к линуху ;)
А сейчас только начинается ведь ;)
http://www.ibm.com/ibm/licensing/patents/pledgedpatents.pdf
 

Black Bat
12 Jan 2005 8:30 AM
о, и здесь оранжевые придурки
 

LinFan
12 Jan 2005 2:28 PM
none:
Ну пристрастия положим менять не придется - у нас за них, в отличии от некоторых азиопских стран ;), не преследуют и не будут преследовать (слава богу не избрали "голубого" зека).
А насчет официального виндовозного курса - че-то мне кажется шо в Европе он не совсем голубой (виндузоидный) а слегка с желтоватым (или как выражаются местные янучары - "рыжым") пингвиноидным окрасом :) Linux vs Windows проблема больше не политическая а экономическая :)
"Поставять вам базы НАТО в Севастополе (за малое бабло ;) "
А Проффесор обещал на халяву отстегнуть лепшему корешу Вове Севастополь... Наверное это лучше... Для кого?

Black Bat: Мы тоже очень рады черномышам :-)
 

none
12 Jan 2005 6:36 PM
2LinFan: "Linux vs Windows проблема больше не политическая а экономическая :)"
ну это было наверное экономически оправдано - закупка палаток для поддерж. главного от рыжих ?! :) на деньги американских налогоплательщиков :)
Не буду Вас разубеждать, но виндовс - уже давно политика ;) (уж я не раз сталкиваюсь - в своей корпоративной действительности)
 

none
12 Jan 2005 6:41 PM
2LinFan: как мне сказали украинские коллеги из двух зол выбирают меньшее (они тоже за рыжих).
И добавили - у вас хоть за президента, не стыдно ;)

Ну марионетка - не хуже чем зэк, хотя зэк там тоже "марионетка" (только у других в руках) :)
 

LinFan
12 Jan 2005 6:51 PM
none: "...И добавили - у вас хоть за президента, не стыдно..."
Хм... Это за ВВП что-ли? Вот уж действительно ЛУЗЕР-2004! Наверное в приведенной фразе нехватает "...совсем уже... ...привыкли наверное" ;)
 

LinFan
12 Jan 2005 7:13 PM
none: ...американские деньги...
А как вы думаете, можно ли было сломить кучмо-путинский агрегат без сторонней помощи? Народ - это хорошо (и он действительно поддержал рыжых, они по-началу просто офигели от кол-ва сторонников), но на одном энтузазизме далеко не поедешь. Равно как и на одних только деньгах (проверено Януковичем в Украине).
А насчет марионеток... Поживем - увидим. 100% марионеткой была бы Украина при зеке-президенте. Бессловестный пример - Беларусь. А так - посмотрим куда кривая выведет.
 

 

← ноябрь 2004 9  10  12  13  14  15  16  17  19 январь 2005 →
Реклама!
 

 

Место для Вашей рекламы!