Re: OpenVZ
Alexey Pechnikov -> debian-russian@lists.debian.org @ Thu, 11 Mar 2010 00:25:07 +0300:
>> AP> что при отсутствии интернет-доступа нереализуемо.
>>
>> Ты не поверишь, но веб-серверу умение самостоятельно ходить куда попало
>> наружу практически не нужно. За редкими исключениями в виде иногда DNS
>> и изредка SMTP.
AP> Последнего спамерам как раз достаточно. Равно как для
AP> распределенной атаки на DNS достаточно разрешенного доступа к DNS.
Я сказал "изредка".
>> Его задача - отвечать на запросы. И обрезать ему
>> доступ соответственно его задачам - вполне осмысленное действие. Лишнее
>> препятствие на пути взломщика - особенно автоматического.
>>
>> У меня на роутерах так и физические сервера ограничиваются.
AP> И что, даже aptitude update не работает? Сомнительное достижение.
Работает. С локального миррора.
AP> Как показывает практика, сервисы становятся все более
AP> распределенными и требуют взаимодействия с удаленными системами. А
AP> это SMTP/HTTP/HTTPS. Не зря появляются всякие "облачные"
AP> инфраструктуры - во многом излишние сегодня, но все к тому
AP> идет. Так что блокировать на серваке исходящие запросы на порты 25,
AP> 80, 443 - не есть допустимо.
То, что ты сам не понимаешь, это фиг с тобой. Хуже, что тебе новички
поверить могут...
--
Тормоз - тоже механизм, только медленный совсем.
Reply to:
- Follow-Ups:
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- References:
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
- From: Artem Chuprina <ran@ran.pp.ru>
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>