Re: sudo ws root
17.12.08, 19:54, "Dmitry Marin" <corvax@corvax.ru>:
> >> VW> Увы, если уж мы про remote root exploit, или хотя бы remote shell,
> >> VW> то его достаточно одного. Во внешнем слое защиты.
> >> Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
> >> гейтом "внутрь".
> > Вообще, если говорить про настоящую паранойю, то требуется использовать файрвол (с VPN'ом) и систему внутри от разных вендоров и разных платформ. Например, шлюз - железячный роутер, или (о ужас) Microsoft Windows Server RRaS. Главное, чтобы разные. И чем более разные (т.е. не два разных линуха), тем лучше.
> Очень спорно. На портяжении всего прощедшего года неоднократно читал
> убедительные доказательства, что мультивендорность приносит больше
> проблем, нежели пользы. Ключевой момент -- поддержка различных
> устрйоств\программ отнимает больше средств, времени и требует куда
> больших специальных знаний. Последнее конечно совесм не плохо само по
> себе, но часто это выливается в необходимость иметь в штате еще одного
> специалиста со всеми вытекабими.
Ну, TCO у мультивендорной системы выше, да. Заметим, у системы из "шлюз раздельно машина раздельно" и TCO и начальная стоимость тоже выше, чем у просто машины, торчащей наружу 22ым портом.
Так что в линии паранойи всё начинается с наличия пароля на ssh (разумный минимальный уровень безопасности) и заканчивается мультивендорной системой из двух файрволов с NAT'ом локальной сети относительно DMZ.
Моё имхо, что здравое место в этой линейке - в просто хорошем пароле на ssh. Хотя, конечно, если конфигурация предусматривает файрвол (да ещё с возможностью VPN) - почему бы и нет?
--
wBR,George.
Reply to: