Security report: Windows vs. Linux (опять)

>xplite подарить?

Говно.

>в свою очередь требует глубоких знаний системы. Надо отвоевывать свое право пукать

ЗЫ извиняюсь, не удержался

>>То же самое касается багов в том же sendmail.

>>При этом надо помнить, что необязательно у всех стоит последняя программа - у кого-то, может qmail или еще чего.

>Многие вообще серваков лишних у себя на тачке не держат.

Даже если присутствуют, то disabl'аят в xinetd(/etc/xinetd.d). Иначе, каюк, а лучше произвeсти после этого проверку nmap, чтобы потом не было сюрпризов и, потом настроить iptables или ipchains, и только тогда можно сказать, а мы в танке. :)))

P.S. Да забыл надо постоянно отслеживать багфиксы установленного софта, если такой имеется, т.е. для которого это необходимо.

2Sun-ch (*) (25.10.2004 14:32:39)
>Оно конечно, только после этого на каждое право пукнуть надо писать
ACL, что в свою очередь требует глубоких знаний системы.
Ну дык хочешь защититься, нанимай бодигардов или учи боевые искусства :-)
Опять же, ACL пишется 1(один) раз на одной машине (или на 2+, если конфиги разные, а потом раскидываем по остальным). А вот высраться и не надуться ну никак не получится :-)
З.Ы. Дистры с умолчательными секурными патчами таки есть (тот же ALT Master c owl) :-)

ИМХО нездоровый поход.

Я читал, что такие списки могут быть размером в несколько ТЫЩ строк.

Конечно есть там обучение всякое, но ситуации могут быть очень

непростые.

С другой стороны, OpenBSD тоже секурная ОС, и без этого гиммора,

просто другой подход.

> Помнится с досом поставлялся qbasic. Эту практику они закончили?

Так он со всеми версиями DOS вплоть до 6.22 и поставлялся. Потому что они на него жёстко завязали edit.com. Основная часть кода, обеспечивающего функциональность edit.com, содержалась в qbasic.exe. Удаляешь qbasic.exe - и всё, можешь гулять - edit.com не запустится. Так было ещё в NT4 (qbasic.exe: 255855 bytes, edit.com: 429 bytes) и 95. В 98 вроде qbasic убрали, edit.com: 69902 bytes. Как вспомню - смешно становится :)

/не помню версию доса/ не нашел ни одного упоминания о qbasic
один сплошной gwbasic

> /не помню версию доса/ не нашел ни одного упоминания о qbasic > один сплошной gwbasic

3.3 ? :)

это было еще на i286 вот так :)

>Тогда не вопрос - и шару и по ftp и почтовый сервер тебе поднимем и апач довесим. А чтобы было не скучно, поставим тебе компилятор и какой-нить *Box. И влезем в гиг не вопрос.

А если поизвращатся с uclibc, busybox, lite x то и в 200 метров в легкую.

Отдыхайте карапузы :)

Есть дистр виндовс 95 размером в 4,47 метра.

Так у него же энд-оф-лайф - я бы его как сервер не поставил, похакают ещё. Да и глючит он нипадеццки...

2Sun-ch (*) (25.10.2004 15:55:35)
>ИМХО нездоровый поход.
Какой из? (grsec, owl, selinux(в NSA типа не здоровые, а очень здоровые перцы сидят :-)))
>Я читал, что такие списки могут быть размером в несколько ТЫЩ строк.
А я читал, что винда стала еще безопаснее :-)
>Конечно есть там обучение всякое, но ситуации могут быть очень
непростые.
Есть еще опыт всякий, помогающий справиться с очень непростыми ситуациями, теория без практики - как секс без женщины :-)
>С другой стороны, OpenBSD тоже секурная ОС, и без этого гиммора,
просто другой подход.
Саныч, ты это, про сабж не забыл? Никто про OpenBSD кривого слова не сказал, и я не скажу, бо не юзал :-)

2Sun-ch (*) (25.10.2004 16:39:45)
>Есть дистр виндовс 95 размером в 4,47 метра.
Диаметр компакта? :-)

>Есть дистр виндовс 95 размером в 4,47 метра.

Ага. :) Какаята ранняя чикага на дискетах в народе ходила :)))

> Есть дистр виндовс 95 размером в 4,47 метра.

Доказательства?

Про 11 Мб знаю:

http://home.comset.net/formet/faq95ust9.html

Посмотри внимательно на список остающихся файлов и прикинь, что этот уродец сможет.

http://slashzone.ru/articles/03/08/09/1152240.shtml

> Silvorgold пишет: "Парню из MSBetas.net удалось сжать дистрибутив Windows 95 до 4,47 МБ. Таким образом, у него есть единственная в мире версия Windows размером меньше 5 МБ, которая является загрузочной, полностью рабочей, обладает возможностями редактирования реестра и работы с командной строкой. Он опубликовал краткое описание того, как это было сделано, и представил скриншоты получившейся версии, сделанные цифровым фотоаппаратом. Кстати, скриншоты не фальшивые."

Гыыыыы!!!! Она может редактировать свой реестр!!!! bash+kernel тоже могут редактировать конфигурационные файлы! И многие однодискетные дистрибутивы linux не только могут что-то редактировать, но и монтируют разные файловые системы, могут работать в сети. И ядро содержат не 95-го года выпуска. А чем может похвастаться эта недовинда? Кстати, а что у неё в c:\windows\command лежит? :) И сможет ли она с дискеты загрузиться? Ну хорошо, с двух? :)

>P.S. Да забыл надо постоянно отслеживать багфиксы установленного софта, если такой имеется, т.е. для которого это необходимо.

Это надо делать вообще в любой системе.

>Дистры с умолчательными секурными патчами таки есть (тот же ALT Master c owl)

И не нужно забывать про тот же SELinux и exec-shield, которые присутствуют в fedora core.

>Есть дистр виндовс 95 размером в 4,47 метра.

Скажи, что на нем можно запустить? Я урезал винду 95 до 15 метров, но кроме far'а и winamp'а на ней ничего не работало.

2jackill (*) (25.10.2004 18:08:20)
>И не нужно забывать про тот же SELinux и exec-shield, которые присутствуют в fedora core.
Это не мне, это Санычу :-)

Раз уж пошёл такой оффтопик, как у Win дела с LiveCD, особенно такого уровня как PCLinuxOS, K(G)noppix? Или наоборот, типа GeeBOX видео играть? Очень, между прочим, безопасные дистры. Юзать можно без hdd, в крайнем случае - ребут и всё опять в первозданном виде :)

paranoiac2jackill (увидел в соседнем топике):

www.linux.org.ru/jump-message.jsp?msgid=689698

Смотри в удалённых.

> напомню теорию, что что начиная с i386 x86 процессоры имеют специальные аппаратные режимы и переключать его в такой режим имеет привилегию только ядро операционной системы, а то минимальная/ максимальная части системы - слишком расплывчатое определение :)

Оно не случайно такое несколько расплывчатое. Ведь и Линукс и NT версий 3.x и 4 работают не только на x86 компьютерах. Ещё и на альфе, например. А там такого понятия как переключение в защищённый режим нету ;-) Кстати, никакой такой привилегии переключать проц в защищенный режим ядро не имеет. Оно просто это делает. Теоретически это мог бы делать BIOS компьютера при старте, но тогда нельзя будет загрузиться с дискетки с MS-DOS.

> при системном вызове происходит передача управления ядру и происходит пеключение процессора в защищенный режим, все эти переключения режимов далеко не бесплатны и сказываются на производительности системы, поэтому монолитное ядро имеет преимущество в том что переключений происходит меньше

Ты о чём вообще? Ядро Линукса переводит проц в защищённый режим только один раз и до выполнения shutdown вся работа протекает только в защищённом режиме. Ядро NT действует также.

>Конечно можно! Вы что? В каком веке живете? И не только исо кстати....;)

Утилитами из базовой поставки? Рейзера?