Re: OpenVZ
Hello!
On Friday 12 March 2010 10:11:22 Artem Chuprina wrote:
> Alexey Pechnikov -> debian-russian@lists.debian.org @ Thu, 11 Mar 2010 19:39:36 +0300:
>
> >> На втором месте, скорее всего, какой-нибудь из левых модулей к апачу
> >> (сам-то он с трудом ломается, а вот третьесторонние модули у него бывают
> >> ужасны) или к тому подобной фигне.
>
> AP> Раз речь о безопасности зашла, то уже почти наверняка апач не держим.
>
> Отнюдь. На остальное смотрел. Либо еще хуже, либо функциональности
> недостаточно, а чаще - и то, и другое.
У апача _без модулей_ функциональности немного. А модули - они разные, и кривые
и совсем безобразные...
> >> Дальше - bind.
>
> AP> Не буду вспоминать про djbdns, просто поинтересуюсь - а что bind?
> AP> Смотрим версию в ленни со всеми секьюрити апдейтами, как
> AP> предлагаете его ломать?..
>
> Ломают его периодически...
Вспоминая разговор про qmail, популярное решение _должно быть_ самым лучшим,
по вашему мнению (в том числе и php, надо полагать), тогда с такой позиции идеал
это exim,php,bind, а не qmail,tcl,djbdns (к примеру). Как говорится, за что боролись.
> >> А через ssh - это
> >> сложно... Ну, разве что у тебя разрешен парольный вход и пароли легко
> >> подбираемые.
>
> AP> Не слишком давно было дело с уязвимостью в сертификатах.
>
> У ssh нет сертификатов. Как класса. То есть с чем и где было дело, я
> как раз помню. Я не помню, чтобы кого-то успели через это сломать.
Пожалуй, это можно скорее казусом назвать, нежели эксплуатированной
уязвимостью, слишком все привыкли к ssh, чтобы каждый день перепроверять.
> AP> Пока что я не вижу, что вы добились, закрывая порт 80. Если кого-то
> AP> сломают через php, то через него же и зальют любые нужные файлы, то
> AP> же самое с апачем.
>
> "Ты пальцем покажи". Вот у тебя есть уязвимость, позволяющая выполнить
> на сервере шелловскую команду. Любую. Но - stdin/stdout у нее в
> /dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
> у апача или у твоего любимого AOL, скорее всего, будет именно так, если
> ошибка не в mod_cgi). Вопрос. Какую команду ты будешь выполнять?
>
>
Нечто, что принимает на stdin залитый через веб-интерфейс файл и создает
новые файлы, которые потом можно скачать через тот же веб-интерфейс.
Лезть в сеть напрямую надобности не вижу.
Best regards, Alexey Pechnikov.
http://pechnikov.tel/
Reply to:
- References:
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
- From: Artem Chuprina <ran@ran.pp.ru>