Re: OpenVZ

To: debian-russian@lists.debian.org
Subject: Re: OpenVZ
From: Alexey Pechnikov <pechnikov@mobigroup.ru>
Date: Fri, 12 Mar 2010 12:22:18 +0300
Message-id: <[🔎] 201003121222.18689.pechnikov@mobigroup.ru>
Reply-to: pechnikov@sandy.ru
In-reply-to: <[🔎] 88548533@wizzle.ran.pp.ru>
References: <201002121511.21656.pechnikov@mobigroup.ru> <[🔎] 201003111939.36881.pechnikov@mobigroup.ru> <[🔎] 88548533@wizzle.ran.pp.ru>

Hello!

On Friday 12 March 2010 10:11:22 Artem Chuprina wrote:
> Alexey Pechnikov -> debian-russian@lists.debian.org  @ Thu, 11 Mar 2010 19:39:36 +0300:
> 
>  >> На втором месте, скорее всего, какой-нибудь из левых модулей к апачу
>  >> (сам-то он с трудом ломается, а вот третьесторонние модули у него бывают
>  >> ужасны) или к тому подобной фигне.  
> 
>  AP> Раз речь о безопасности зашла, то уже почти наверняка апач не держим.
> 
> Отнюдь.  На остальное смотрел.  Либо еще хуже, либо функциональности
> недостаточно, а чаще - и то, и другое.

У апача _без модулей_ функциональности немного. А модули - они разные, и кривые
и совсем безобразные...

>  >> Дальше - bind.  
> 
>  AP> Не буду вспоминать про djbdns, просто поинтересуюсь - а что bind?
>  AP> Смотрим версию в ленни со всеми секьюрити апдейтами, как
>  AP> предлагаете его ломать?..
> 
> Ломают его периодически...

Вспоминая разговор про qmail, популярное решение _должно быть_ самым лучшим, 
по вашему мнению (в том числе и php, надо полагать), тогда с такой позиции идеал 
это exim,php,bind, а не qmail,tcl,djbdns (к примеру). Как говорится, за что боролись.

>  >> А через ssh - это
>  >> сложно...  Ну, разве что у тебя разрешен парольный вход и пароли легко
>  >> подбираемые.
> 
>  AP> Не слишком давно было дело с уязвимостью в сертификатах.
> 
> У ssh нет сертификатов.  Как класса.  То есть с чем и где было дело, я
> как раз помню.  Я не помню, чтобы кого-то успели через это сломать.

Пожалуй, это можно скорее казусом назвать, нежели эксплуатированной 
уязвимостью, слишком все привыкли к ssh, чтобы каждый день перепроверять.

>  AP> Пока что я не вижу, что вы добились, закрывая порт 80. Если кого-то
>  AP> сломают через php, то через него же и зальют любые нужные файлы, то
>  AP> же самое с апачем.
> 
> "Ты пальцем покажи".  Вот у тебя есть уязвимость, позволяющая выполнить
> на сервере шелловскую команду.  Любую.  Но - stdin/stdout у нее в
> /dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
> у апача или у твоего любимого AOL, скорее всего, будет именно так, если
> ошибка не в mod_cgi).  Вопрос.  Какую команду ты будешь выполнять?
> 
> 
Нечто, что принимает на stdin залитый через веб-интерфейс файл и создает
новые файлы, которые потом можно скачать через тот же веб-интерфейс.
Лезть в сеть напрямую надобности не вижу.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Reply to:

Follow-Ups:
- Re: OpenVZ
  - From: Artem Chuprina <ran@ran.pp.ru>

References:
- Re: OpenVZ
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
  - From: Artem Chuprina <ran@ran.pp.ru>

Prev by Date: Выбор псевдо-аппаратного NAS
Next by Date: Re: eeepc 901 lenny wifi
Previous by thread: Re: OpenVZ
Next by thread: Re: OpenVZ
Index(es):
- Date
- Thread