Re: OpenVZ
Hello!
On Wednesday 10 March 2010 11:49:18 Artem Chuprina wrote:
> AP> что при отсутствии интернет-доступа нереализуемо.
>
> Ты не поверишь, но веб-серверу умение самостоятельно ходить куда попало
> наружу практически не нужно. За редкими исключениями в виде иногда DNS
> и изредка SMTP.
Последнего спамерам как раз достаточно. Равно как для распределенной атаки
на DNS достаточно разрешенного доступа к DNS.
> Его задача - отвечать на запросы. И обрезать ему
> доступ соответственно его задачам - вполне осмысленное действие. Лишнее
> препятствие на пути взломщика - особенно автоматического.
>
> У меня на роутерах так и физические сервера ограничиваются.
И что, даже aptitude update не работает? Сомнительное достижение.
Как показывает практика, сервисы становятся все более распределенными и
требуют взаимодействия с удаленными системами. А это SMTP/HTTP/HTTPS.
Не зря появляются всякие "облачные" инфраструктуры - во многом излишние
сегодня, но все к тому идет. Так что блокировать на серваке исходящие
запросы на порты 25, 80, 443 - не есть допустимо.
Best regards, Alexey Pechnikov.
http://pechnikov.tel/
Reply to:
- References:
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
- From: Artem Chuprina <ran@ran.pp.ru>