Re: OpenVZ
Alexey Pechnikov -> debian-russian@lists.debian.org @ Thu, 11 Mar 2010 17:17:38 +0300:
>> Не все держат по одному серверу у сотни хостеров. Некоторые - по
>> десятку у одного. И кстати, поинтересуйся у своего хостера, нету ли у
>> него часом оного миррора. Если у него это на сайте не написано, это еще
>> не значит, что нет.
AP> Там виндоус и фря, так что им без надобности.
Ты точно спросил, или это так, эротические фантазии?
AP> Отклонюсь от темы: можно ли "криво" поставить дебиан? Обратитесь в
AP> агаву, узнаете :-)
Спасибо, мы и так в курсе. И про агаву тоже.
>> >> Причем с шансами раздаваемый по NFS (r/o, естественно), чтобы кэшей не
>> >> плодить.
>>
>> AP> С локалками не работаю, посему позвольте не разделять горячую
>> AP> любовь к NFS.
>>
>> Ты, опять же, не поверишь, оно не только по локалке умеет. Оно
>> вообще-то по IP работает...
AP> То есть открыть доступ на удаленный порт 80 несекьюрно, а светить
AP> голым, простите, NFS в инет - нормально?
r/o-то? Абсолютно. Впрочем, опять же, торчать им для _всех_ никто не
заставляет. Файрволу нонеча не только порт, но и адрес можно рассказать.
>> Ну да. Через smarthost. Который таки да, занимается ровно пересылкой
>> почты и на котором приняты некоторые меры по блокировке потоков с
>> затрояненных машин.
>>
>> Или тут тебе уже UNIX way не нужен?
AP> А если немного посчитать? К примеру, типичный ботнет это порядка 10
AP> - 100 тысяч машин. Ежели они одновременно отправят по письму одному
AP> и тому же получателю, последний загнется. А отправка одного письма
AP> явно не может автоматически блокироваться как рассылка спама. И где
AP> профит?
Типичный ботнет - это отношение "многие ко многим". Поэтому на
отправляющем конце машина, участвующая в ботнете, как раз нормально
ловится.
>> Именно. А равно и многое не нужно. Тоже в зависимости от задачи. И
>> вот то и другое и подкреплено файрволом для пущей безопасности.
>>
>> >> Ему вполне достаточно HTTP на 1
>> >> (один) адрес.
>>
>> AP> У меня только своих репозиториев 2 используется - публичный и
>> AP> приватный. Плюс где как - где бэкпорты нужны, где debian-multimedia
>> AP> и проч. Явно один адрес вопроса не решает.
>>
>> Ну, явно четыре. А на сервер взломщика за payload'ом его червяка-то
>> зачем ходить?
AP> Взломщик - это лицо, имеющее шелл-доступ?
Еще не имеющее. Находящееся в процессе получения. Автоматическим
червяком. Он влезть-то влез, а чтобы пользу из этого извлечь, ему надо
втащить собственно то, что будет работать (оно и будет в данном случае
payload), запустить его, и его еще должны выпустить, чтобы он эту работу
сделал.
Если нихрена не блокировать, то он все это успешно проделает. А если
блокировать - то очень как повезет.
Всунуть же payload прямо в момент взлома часто от "тяжело" до
"невозможно", и так в норме не делают. Всовывают код, который все
остальное может вытянуть из сети. Если она открыта. А если нет - не
беда, найдем другого, у которого все открыто, "потому что много другой
функциональности". Вон, у Печникова в соседней стойке сервер...
Через него, правда, уже кто-то спам релеит через механизм отлупов от
мейлер-демона, ибо там qmail, который сперва принимает, а потом думает,
ну да не беда, уживемся...
Да, защиту обычно пробивают в самом узком месте. Но если в самом узком
месте три заслона один за другим - пробить придется все три. Это
сложнее, чем один. Может не получиться.
--
Пришел в гости математик, почитать новую рукопись. Вычитал из нее трех
героев напрочь, и ушел.
Gimli on #arda
Reply to:
- Follow-Ups:
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- References:
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
- From: Artem Chuprina <ran@ran.pp.ru>
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>