Re: OpenVZ

To: debian-russian@lists.debian.org
Subject: Re: OpenVZ
From: Alexey Pechnikov <pechnikov@mobigroup.ru>
Date: Thu, 11 Mar 2010 00:25:07 +0300
Message-id: <[🔎] 201003110025.07927.pechnikov@mobigroup.ru>
Reply-to: pechnikov@sandy.ru
In-reply-to: <[🔎] 99288497@tigger.lan.cryptocom.ru>
References: <201002121511.21656.pechnikov@mobigroup.ru> <[🔎] 201003091808.36323.pechnikov@mobigroup.ru> <[🔎] 99288497@tigger.lan.cryptocom.ru>

Hello!

On Wednesday 10 March 2010 11:49:18 Artem Chuprina wrote:
>  AP> что при отсутствии интернет-доступа нереализуемо.
> 
> Ты не поверишь, но веб-серверу умение самостоятельно ходить куда попало
> наружу практически не нужно.  За редкими исключениями в виде иногда DNS
> и изредка SMTP.  

Последнего спамерам как раз достаточно. Равно как для распределенной атаки 
на DNS достаточно разрешенного доступа к DNS.

> Его задача - отвечать на запросы.  И обрезать ему
> доступ соответственно его задачам - вполне осмысленное действие.  Лишнее
> препятствие на пути взломщика - особенно автоматического.
> 
> У меня на роутерах так и физические сервера ограничиваются.

И что, даже aptitude update не работает? Сомнительное достижение.

Как показывает практика, сервисы становятся все более распределенными и 
требуют взаимодействия с удаленными системами. А это SMTP/HTTP/HTTPS.
Не зря появляются всякие "облачные" инфраструктуры - во многом излишние
сегодня, но все к тому идет. Так что блокировать на серваке исходящие 
запросы на порты 25, 80, 443 - не есть допустимо.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Reply to:

Follow-Ups:
- Re: OpenVZ
  - From: Artem Chuprina <ran@ran.pp.ru>

References:
- Re: OpenVZ
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
  - From: Artem Chuprina <ran@ran.pp.ru>

Prev by Date: Re: OpenVZ
Next by Date: Re: Проблемы с локалями в zip-архивах, созданных под виндой (названия файлов под дебиан выглядят кракозябельно)
Previous by thread: Re: OpenVZ
Next by thread: Re: OpenVZ
Index(es):
- Date
- Thread