[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenVZ

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 00:25:07 +0300:

 >>  AP> что при отсутствии интернет-доступа нереализуемо.
 >> 
 >> Ты не поверишь, но веб-серверу умение самостоятельно ходить куда попало
 >> наружу практически не нужно.  За редкими исключениями в виде иногда DNS
 >> и изредка SMTP.  

 AP> Последнего спамерам как раз достаточно. Равно как для
 AP> распределенной атаки на DNS достаточно разрешенного доступа к DNS.

Я сказал "изредка".

 >> Его задача - отвечать на запросы.  И обрезать ему
 >> доступ соответственно его задачам - вполне осмысленное действие.  Лишнее
 >> препятствие на пути взломщика - особенно автоматического.
 >> 
 >> У меня на роутерах так и физические сервера ограничиваются.

 AP> И что, даже aptitude update не работает? Сомнительное достижение.

Работает.  С локального миррора.

 AP> Как показывает практика, сервисы становятся все более
 AP> распределенными и требуют взаимодействия с удаленными системами. А
 AP> это SMTP/HTTP/HTTPS.  Не зря появляются всякие "облачные"
 AP> инфраструктуры - во многом излишние сегодня, но все к тому
 AP> идет. Так что блокировать на серваке исходящие запросы на порты 25,
 AP> 80, 443 - не есть допустимо.

То, что ты сам не понимаешь, это фиг с тобой.  Хуже, что тебе новички
поверить могут...

-- 
Тормоз - тоже механизм, только медленный совсем.
Reply to: