_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Alex Korchmar 2:5020/28 04 Apr 99 15:42:08
Subj : Re: Сети
________________________________________________________________________________
Ilya Popov <[email protected]> wrote:
mun>> реагируют на такие дыры, да и выбор софта поболе будет
mun>> А MS уже сделал было FrontPage укладчик для Линукса (точнее апача)
mun>> Количество дыр просто потрясающее. Если они и в своих продуктах так
mun>> программируют, то ой-ой-ой
IP> Кстати, никто не заглядывал внутрь некоего mod_fp, недавно
я так и не понял, что это такое.
То есть, суть этой убогой радости, очевидна - убрать необходимость
scriptalias'еных фронтпэйджевых каталогов. А вот что оно там делает -
я так и не разобрался.
IMHO, и не стоит - ничего хорошего такой код делать не может:
+#ifdef LINUX
+#define RAND_CMD "/bin/ps laxww | /usr/bin/sum ; /bin/ps laxww | /usr/bin/sum"
+#else
+ всякая другая херня
+#endif
+ execl("/bin/sh", "/bin/sh", "-c", RAND_CMD, NULL);
кто-нибудь видел более бредовый способ получать случайные числа? (т.е. это
сокровище форкается, открывает пайп, и читает оттуда результат команды.
Особенно трогательны эти ifdef LINUX - где достаточно /dev/urandom прочитать.)
Кстати, случайность этих случайных чисел представляется мне весьма
сомнительной.
IP> анонсированного на freshmeat? Может, оно теперь юзабельное? Кроме
ЭТО? Hет. Сам fp - да, юзабелен, если ты не провайдер.
Выкидываешь всю ms'овую ботву с сетуидеными хренями, ставишь не врапперы,
а реальные бинарники в scriptalias'еное место, и закрываешь все это
сокровище от доступа снаружи файрволлом. (например, сквидом в режиме accel)
Т.е. по той же технологии, по какой юзаются все прочие MS-средства -
от нелегальных пользователей защищаться внешними средствами, от легальных
- логами и административными средствами воздействия.
IP> того, какой смысл M$ писать что-то под Linux?
вот такой вот смысл: рынок есть - пишут и под линукс. Плохо, но пишут.
Рынка офиса нет, рынка iis'ов нет, а вот рынок для fp'шной ботвы - есть.
Каждая установленная на линуксе пакость приносит a) рекламу b) реальный
доход - поскольку при этом на чьих-то винюках появляется сам fp98.
mun>> Оно конечно преимущество, что исходного кода никому не дают, но и
IP> недостаток,
mun>> что ни проверить, ни заткнуть.
mun>> А по поводу админа, то вполне возможна организация сервера на базе того же
mun>> RedHat
mun>> или Debian и если стандартная коробка устраивает, то просто ставится
IP> маленький
mun>> такой демон, который автоматом лазит в updates к этим системам и
mun>> ставит/апгрейдит
IP> Сделай мне такую систему. Я даже денежки хорошие за это могу дать. Hо
хм, сколько?
IP> - чтобы совсем автоматом, и конфиги тоже само правило. Иначе автомата
IP> не выйдет.
выйдет - зачем тебе править конфиги после security fix'ов?
Причем самое сложное в этом демоне будет - проверять,чтобы нечаяно не
пофиксить уже пофиксенное (т.е. борьба с идиотизмом rpm'а).
mun>> что надо. Hи тебе выходных, ни прочего. Эти компании при этом довольно
mun>> оперативно
mun>> реагируют на security holes. Вот активно обсуждаемая дыра в wu-ftp
mun>> заткнута еще с 18 января. Меня только в средине марта наконец попробовали
IP> Тебе повезло. Если бы кто-то целенаправленно захотел тебе напакостить,
IP> сломали бы в тот же день. А теперь представь что должен делать какой-нить
IP> ISP, у
Если бы кто-то _целенаправленно_ захотел ему напакостить - слом был бы
_сегодня_. В "пофиксеном" wu-ftpd есть еще что фиксить, имейте в виду.
Причем выковырять оттуда действительно серьезного хакера было бы очень
сложно- поставят тебе какой-нибудь троянец в /usr/local/bin - и из rpm,
если понадобится, чтоб в rpm -ay ничего такого не выдавал.
Поставить троянский винворд несколько сложнее - потому что для начала
он должен быть настоящим вордом.
IP> которого на этот ftp довольно много всего завязано. Тут уж кто первый
IP> bugtraq прочитает. Причем, не всегда это будет админ того самого ISP.
это всегда будет не админ того ISP, потому что админу еще и работать надо.
А пионеру - не надо. А профессиональному хакеру - именно за чтение bugtraq
и платят.
IP> Во-первых, есть NT Terminal Server Edition, который экраны по сети
IP> не гоняет. Возможно, его скоро даже активно использовать будут,
гоняет, гоняет :)
Hе целиком экраны, примерно то, что делают X'ы.
Для удаленного администрирования он не нужен совершенно, как не нужны
Xы для удаленного администрирования юниксов.
IP> наверняка доведут до ума. Во-вторых, для большинства операций есть
_всех_, исключая как раз не-MSом разработанные поделия.
IP> специальные утилиты удаленного администрирования, типа user manager
вот. Hаконец-то догадались. (пресловутые админы за $300 догадались
бы сразу). А iis еще и через http можно управить.
IP> for domains. Он,
IP> наверно, и на 1200/нихрена кое-как работать будет.
через 1200 - вряд ли. Hо обычно этого и не требуется.
> Alex
--- ifmail v.2.14.os-p2 * Origin: Down System -2 (2:5020/28@fidonet)