Полезная информация

Список ответов на каверзные вопросы можно получить в FAQ-разделе форума.

№62618-04-2006 01:32:41

Belt
Участник
 
Группа: Members
Зарегистрирован: 24-11-2005
Сообщений: 57

Re: Linux vs Windows II: противостояние систем

Очень состоятельный спор. Линукс - Виндовс, удобно - неудобно. Зочу напомнить вам об одном человечке Ричерде Столмане (RMS). GNU/Linux был придуман не для того, чтобы конкурировать с Windows, он был разработан как СВОБОДНАЯ операционная система. Столлман говорил: "Свобода первична!" Нельзя сравнивать СВОБОДНУЮ и НЕСВОБОДНУЮ ось. Линукс не разрабатывался как удобная ось. Линукс не разрабатывался как мошьная ось. Линукс не разрабатывался как безопасная ось. Линукс разрабатывался как СВОБОДНАЯ ось. Всё остольное на высоком уровне, но оно вторично. Если бы не появился проект GNU, не было бы ни Mozilla ни Gecko а мы бы плакали и давились 9x или чам-нибудь пострашнее.

Рано или позно партизанская война GNU - M$ перерастёт в открытую. А ведь mozilla теперь под GPL! Короче, половина покинет этот сайт и будет юзать 7 (8) ишак. Другая половина останется с GNU и Mozilla.

Многие из тех, кто орут "Линукс в топку" вообще его не юзали. Некоторые попробовали но испугались "не виндоуса". Остальные просто подсели на "свистелки и шуршалки", и уже не могут без этоих наркотиков.

Удачи вам, виндусятники! Скоро получите свой 7 ишак,  VISTA и DRM в придачу. Будете железки каждые пол года выкидывать, так как их "цифровой сертификат" истёк.


---------- Self development operation system  ----------
          **** Curret Owner Reaction Engine ****
                            /\ C. O. R. E. /\

Отсутствует

 

№62718-04-2006 01:58:21

Azathoth
Участник
 
Группа: Extensions
Откуда: Хабаровск
Зарегистрирован: 02-02-2005
Сообщений: 2692

Re: Linux vs Windows II: противостояние систем

djet

А не потому ли сервера не линуксе так часто и ломают, что админы забыли об этом?

Просто их больше и они доступнее.

А сервера на Win постоянно хватают червей и прочую ерунду. К тому же за каждой системой, в не зависимости от происхождения, надо следить, ставить патчи. И просто грамотно настраивать.
И все Web сервера, что находились под моим присмотром постоянно в логах имели попытки использования уязвимостей IIS. А еще я помню как мы через адресную строку в браузере гуляли как по проспекту по системному диску сервака через дыру в IIS. И я сомневаюсь что админы это засекли, т.к. пользоваться дырой можно было до тех пор пока нам не надоело. Получается что их ломают, а они об этом и не знают =)
Вот почему Linux ломается чаще - потому что об этом чаще узнают. А проникновение в Windows машину остается просто незамеченным. :cool:

Почесал

Серверы всегда легче взломать, чем рабочие станции

Именно. А все потому что сервера имеют открытые порты, которые слушают соответствующие сервисы, а на пользовательской машине прослушиваемых портов как правило гораздо меньше.


...она старалась, чтобы я больше времени проводил в разных пионерлагерях и группах продлённого дня - кстати сказать, удивительную красоту последнего словосочетания я вижу только сейчас. (c) Виктор Пелевин

Отсутствует

 

№62818-04-2006 02:25:42

djet
Участник
 
Группа: Extensions
Откуда: 404 Not Found
Зарегистрирован: 20-11-2004
Сообщений: 2611

Re: Linux vs Windows II: противостояние систем

Belt

Если бы не появился проект GNU, не было бы ни Mozilla ни Gecko а мы бы плакали и давились 9x или чам-нибудь пострашнее.

Ты хочешь сказать, что тем, что сейчас большинство пользователей имеет счастье пользоваться красивой, современной и надёжной ОС от MS Windows XP мы обязаны проекту GNU? :lol::lol::lol:

Остальные просто подсели на "свистелки и шуршалки", и уже не могут без этоих наркотиков.

Тут на последних страницах как раз обсуждали, что свистелки и шуршалки в линуксе гораздо круууче. :lol:

Удачи вам, виндусятники! Скоро получите свой 7 ишак,  VISTA и DRM в придачу. Будете железки каждые пол года выкидывать, так как их "цифровой сертификат" истёк.

Всё к лучшему. У нас стабильность и поддержка большей части железа и ПО. У линуксоидов — прекращение поддержки дистрибутива каждые полгода и необходимость выкидывать железо, потому что оно не работает под линукс. :tongue2:

Athathoth

А еще я помню как мы через адресную строку в браузере гуляли как по проспекту по системному диску сервака через дыру в IIS.

Помню, был праздник на нашей улице.. :lol:

Именно. А все потому что сервера имеют открытые порты, которые слушают соответствующие сервисы, а на пользовательской машине прослушиваемых портов как правило гораздо меньше.

А не наоборот ли? Сколько максимум внешних открытых портов на грамотно настроенном сервере? А на рабочей станции с конфигурацией по умолчанию?


Без бага и ошибки я софт Mozilla не люблю!
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1
Microsoft® Office Outlook® 2007 (12.0.4518.1014) MSO (12.0.4518.1014)

Отсутствует

 

№62918-04-2006 02:59:44

Azathoth
Участник
 
Группа: Extensions
Откуда: Хабаровск
Зарегистрирован: 02-02-2005
Сообщений: 2692

Re: Linux vs Windows II: противостояние систем

djet

А не наоборот ли? Сколько максимум внешних открытых портов на грамотно настроенном сервере? А на рабочей станции с конфигурацией по умолчанию?

Для того чтобы можно было воспользоваться портом, его должен кто-то слушать. От открытых портов, если их не слушают, нет никакого проку.


...она старалась, чтобы я больше времени проводил в разных пионерлагерях и группах продлённого дня - кстати сказать, удивительную красоту последнего словосочетания я вижу только сейчас. (c) Виктор Пелевин

Отсутствует

 

№63018-04-2006 03:05:23

djet
Участник
 
Группа: Extensions
Откуда: 404 Not Found
Зарегистрирован: 20-11-2004
Сообщений: 2611

Re: Linux vs Windows II: противостояние систем

Athathoth
Вот я и говорю, что у типичного сервера прослушиваемых внешних портов на порядок меньше, чем у среднестатистической рабочей станции.


Без бага и ошибки я софт Mozilla не люблю!
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1
Microsoft® Office Outlook® 2007 (12.0.4518.1014) MSO (12.0.4518.1014)

Отсутствует

 

№63118-04-2006 03:52:23

exlex
 
Группа: Members
Откуда: Kanash
Зарегистрирован: 16-06-2005
Сообщений: 691

Re: Linux vs Windows II: противостояние систем

[b пишет

djet[/b]]А что, в win нет firewall'ов хороших и бесплатных? Даже в win2000 есть встроенный пакетный фаерволл, а в ХР — какой-никакой фаер уровня приложений.

Это встроеное убожество, которое по умолчанию в Вин, ещё смеет называться фаерволом?

[b пишет

Почесал[/b]]В винде есть Outpost, например, который гораздо дружественнее к пользователю и мощнее в функциональном плане. айпитейблз умеют только тупо фильтровать пакеты и ничего больше.

А что должен делать файервол ещё, песни петь? И вообще у меня, например, очень дружественный файервол я открываю конфигурационный файл к нему в vim и там цветные буковки меня встречают, красота :P


Я — внутри; смысл — вне © Генри Лайон Олди «Человек Номоса»

Отсутствует

 

№63218-04-2006 04:46:14

Belt
Участник
 
Группа: Members
Зарегистрирован: 24-11-2005
Сообщений: 57

Re: Linux vs Windows II: противостояние систем

Exlex! Для виндусятника ФАЕРВОЛ это типа "заЩита от фтаржениЙ". Не надо пытаться им обяснить, что брадмауер/маршрутизатор это брадмауер/маршрутизатор. Они им от атак защищаются и троянов ищут :) А у нас есть Snort, Ckrootkit, и shorewall :>)

Это и есть Unix-way и Windows-way.


---------- Self development operation system  ----------
          **** Curret Owner Reaction Engine ****
                            /\ C. O. R. E. /\

Отсутствует

 

№63318-04-2006 05:11:15

Belt
Участник
 
Группа: Members
Зарегистрирован: 24-11-2005
Сообщений: 57

Re: Linux vs Windows II: противостояние систем

djet пишет

Athathoth
Вот я и говорю, что у типичного сервера прослушиваемых внешних портов на порядок меньше, чем у среднестатистической рабочей станции.

На workstation вообще слушать порты нечему. Чему там слушать - то? Хотя, если чесно, на Линуксе граница между сервером и рабочей станцией очень размыта. К примеру phpMMS - приблуа к медиаплееру, спомошью которой можно управлять плеером из php скрипта, развёрнутого на http сервере :) И ещё знаю одного чудика, тот на рабочий стол инфу о компе выводил через тот - жа http - php ^)) Так что...


---------- Self development operation system  ----------
          **** Curret Owner Reaction Engine ****
                            /\ C. O. R. E. /\

Отсутствует

 

№63418-04-2006 05:15:23

Belt
Участник
 
Группа: Members
Зарегистрирован: 24-11-2005
Сообщений: 57

Re: Linux vs Windows II: противостояние систем

exlex пишет

А что должен делать файервол ещё, песни петь?

И плясать, и крестиком вышивать, и одежду стирать, мусор ещё выность должен :)) А фильтрация пакетов - дело десятое. ведь правда?

И вообще у меня, например, очень дружественный файервол я открываю конфигурационный файл к нему в vim и там цветные буковки меня встречают, красота :P

Сожги свой ви и ошути Emacs ^))


---------- Self development operation system  ----------
          **** Curret Owner Reaction Engine ****
                            /\ C. O. R. E. /\

Отсутствует

 

№63518-04-2006 07:22:01

wolf_black
Участник
 
Группа: Members
Зарегистрирован: 22-01-2006
Сообщений: 11

Re: Linux vs Windows II: противостояние систем

Зайчик Ben пишет

Даже если это и так, то это всего лишь подтверждение того, что ты хороший коммерческий агент и умеешь людям впарить любую... линуксу. Но не более :)
И совсем не факт, что эти люди потом не начнут плеваться.
Короче, дело в Сочи. Проанализировав :cool: диалоги и монологи с обеих сторон, скажу вот что: фанаты Виндоус в большинстве случаев приводят доводы, причины которых кроются в привычках. То есть: Переход на ОО невозможен потому что пользователи привыкли к Ворду, формат .doc - на самом деле отстой (В ЕС скоро примут формат OpenDocument, даже будущий Офис будет его поддерживать.Вот будет прикол, если Офис 12 хреново будет поддерживать этот формат :rock:), Гимп неудобен потому что привыкли к внешнему виду Фотошопа. Настройка оборудования считается сложной, только потому что она не привычна (хотя возможностей настроек гораздо больше).
этом.

http://www.thinkfree.com/download/dl_windows.jsp -качай бесплатно  и работай с doc и xls
http://soft.compulenta.ru/39251/  зачем мне windows ?:)


Linux i686 (Slackware-based distro)

Отсутствует

 

№63618-04-2006 07:36:47

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Linux vs Windows II: противостояние систем

djet пишет

А не потому ли сервера не линуксе так часто и ломают, что админы забыли об этом? :lol:

Я админ линуксового сервера, в инете стоит, почтовик. Каждый день фиксируются попытки различного рода атак, и что то так и не взломали. Аналогичные серваки на винде (у ребят) аочему то дохнут, требуют востановления с образов чуть ли не каждую неделю. Да и нет безопасности в винде, тот кто настраивал цепочки фильтров в линуксе или фильтры в FreeBSD, тот знает о чём идет речь. И с гибкостью почти никак. Поэтому не сравнивают.


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№63718-04-2006 08:19:04

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Linux vs Windows II: противостояние систем

djet пишет

roopix
А что, в win нет firewall'ов хороших и бесплатных? Даже в win2000 есть встроенный пакетный фаерволл, а в ХР — какой-никакой фаер уровня приложений.

Никакой это не файер, тем более уровня приложений, apache у меня заблокировал, адварю которую DivX поставил, пропустил. Ну и на хрен такой файер? А как в нем запретить всем вход ко мне на 80-й порт, а себе разрешить выход на 80-й хоть куда? А то колебают уже, дома выйдешь в винде в инет, а какая то падла уже цепанлась к апачу.

Почесал пишет

В ЕС скоро примут формат OpenDocument, даже будущий Офис будет его поддерживать.

Не будет он его поддерживать.

Это просто хорошо :D.

Почесал пишет

Один стандартный и мощный фаервол iptables очень легко закрывает пол-системы...

Что значит стандартный? Стандартного в линуксе только ядро.

Есть такая штука, Linux Standart называется, регламентирует различные протоколы, соглашения, наборы, правила и т.д. общие для всех дистрибутивов Linux, кажется LSB зовётся.

А на счёт iptables, то стандартныёй не совсем он, сам файервол (netfilter) встроен в ядро, а iptables - это оболочка к ядру, вот и получилось что файервол (netfilter) для линуксы стандартный и оболочка к нему тоже стала стандартной, т.к. другой давно уже нет.

Почесал пишет

В винде есть Outpost, например, который гораздо дружественнее к пользователю и мощнее в функциональном плане. айпитейблз умеют только тупо фильтровать пакеты и ничего больше.

Почесал, хорошо что вы сразу признались что не имеете отношения к ИТ, я бы над вами долго хихикал бы и издевался. В винде безопасность обеспечивает, если не ошибаюсь, Internet Acces Server, не видел, посему не могу прокомментировать.

А Outpost это, я даже не смог его классифицировать, то ли текстовый редактор, то ли подколка под брандмауер, в любом случае когда настраиваешь безопасность и в Outpost и в линуксе, то сразу видно убожество Outpost.

Понимаете, Outpost, WinRoute, WinGate, это как кастрированный танцор и безрукий солдат в одном лице, ни детей не нарожать, ни семью защитить. Конечно поверхностную настройку безопасности в них сделать можно. Но профессионально настраивать безопасность в них нельзя.

В линуксе есть набор программ для настройки безопасности, подобие Outpost там тоже есть, есть даже программы, которые задают пользователю несколько вопросов и настраивают фильтры безопасности. Но больше контроля даёт, увы, ручное указание правил безопасности. В Windows думаю так же. Только в одном случае ручками разрешаешь правило для входящих пакетов, в другом мышкой щёлкаешь.

Правда в тех же виндовых файерволах возможностей очень мало, хотя в IA Server может их и больше, но кто из вас может его себе позволить?

Почесал пишет

А не потому ли сервера не линуксе так часто и ломают, что админы забыли об этом? lol

Серверы всегда легче взломать, чем рабочие станции ;)

Не легче, просто чаще. На настройку защиты рабочей станции тратится меньше денег, усилий, времени, средств. Гораздо больше ресурсов тратится на быстрое востановление. Это конечно при централизации данных.


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№63818-04-2006 09:48:03

Malakai
Участник
 
Группа: Members
Зарегистрирован: 07-12-2005
Сообщений: 1280

Re: Linux vs Windows II: противостояние систем

На домашних ПК встроенного файрволла хватает по уши. А если внимательно ознакомиться с возможностями настройки фильтрации  (по айпи, по портам если это надо), а не просто абы-чё сказануть, то

Это встроеное убожество, которое по умолчанию в Вин, ещё смеет называться фаерволом?

не покажется убожеством.

Для виндусятника ФАЕРВОЛ это типа "заЩита от фтаржениЙ".

Правильно. А для линуксойда это ещё одно оружие идеологической войны и возможность почесать левой пяткой за правым ухом.:lol:
Во всяком случае в том же shorerwall относительно недавно были найдены (да и постоянно находятся) уязвимости. А по статистике в линуксах вообще больше уязвимостей.

Отредактировано Malakai (18-04-2006 09:51:50)


Let's flame!

Отсутствует

 

№63918-04-2006 10:16:05

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Linux vs Windows II: противостояние систем

Malakai пишет

На домашних ПК встроенного файрволла хватает по уши.

Для большинства случаев его действительно хватает. В линуксе есть аналоги виндовому мастеру защиты сети. Просто для винды средства защиты сети, действительно реальные средства защиты сети, поставляются отдельно и за отдельную плату. Outpost, Wingate, Winroute на средства защиты смахивают честно говоря мало, и не потому что я такой линуксоид, просто они действительно маломощные.

Я задавал вопросы по файерволам на семинарах от Microsoft, там консультанты сказали что есть отдельные средства, ничуть не уступающие линуксовым. Сам я их не видел, но консультантам верю. Всё таки виндовые сервера как то стоят в инете.

А встоенных средств хотя по уши и не хватает, но этих по уши нужны не всем, мне например нужно, а вам Малакай думаю не нужны.

Malakai пишет

А если внимательно ознакомиться с возможностями настройки фильтрации  (по айпи, по портам если это надо), а не просто абы-чё сказануть, то

Это встроеное убожество, которое по умолчанию в Вин, ещё смеет называться фаерволом?

не покажется убожеством.

В принципе если сравнивать встроенные средства защиты винды и линукса (FreeBSD), то так оно есть, только вот весовые категории разные. Да и платить в линуксе за отдельный пакет не надо. Обычный пользователь линукса просто запускает мастер защиты сети (в RedHAT он должен быть), отвечает на вопросы и получает более-менее приемлемый результат.

Malakai пишет

Для виндусятника ФАЕРВОЛ это типа "заЩита от фтаржениЙ".

Правильно.

Вообщето он так и позиционируется фирмой Microsoft.

Malakai пишет

А для линуксойда это ещё одно оружие идеологической войны и возможность почесать левой пяткой за правым ухом.:lol:

Ну почему сразу так, мы же не рассматривали средства защиты от Microsoft и Symantec. Вообще iptables действительно мощное и удобное средство, именно удобное, для человека который не побоится прочитать руководство к нему на русском языке и написать несколько строк.

Есть у него и минусы. Но у кого их нет? Но эти минусы совсем не смертельны.

Malakai пишет

Во всяком случае в том же shorerwall относительно недавно были найдены (да и постоянно находятся) уязвимости. А по статистике в линуксах вообще больше уязвимостей.

Гм, уязвимости уязвимостям рознь. Есть критические и некритические.  к тому же разработчики линукса так дрожат над безопасностью, что стараются сразу выпускать заплаты.

А в Gentoo Linux вообще есть средства мониторинга уязвимостей (например glsa-check), позволяющие протестировать систему и наложить фиксы. Информация о фиксах и уязвимостях обновляется вместе с деревом портежей.


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№64018-04-2006 10:43:39

Почесал
Участник
 
Группа: Members
Зарегистрирован: 24-02-2005
Сообщений: 3957

Re: Linux vs Windows II: противостояние систем

Exlex пишет

А что должен делать файервол ещё, песни петь?

Насколько я помню из своих экспериментов с линуксом, iptables умеет только фильтровать пакеты, идущие по какому-то интерфейсу в каком-то направлении в какой-то порт, а ты уже дописываешь -- accept там, drop, и так далее.

Так вот, а в Outpost можно гибко настраивать доступ в сеть для каждого приложения отдельно! То есть этой программе можно делать это, этой программе можно делать вот это, а вот тому вообще ничего не делать, но разрешить коннектиться на такой-то хост такой-то порт за обновлениями.

Ы?

Еще в iptables нет контроля компонентов. Это когда он мониторит не просто даже приложения, а каждый компонент приложения! И если он изменился, он просигнализирует юзеру.
А еще я не помню, может ли iptables управлять доступом по rawsocket? Или тупо по tcp/udp и прочим?

А DNS-кэш? А модуль мониторинга Spyware? Это когда прога пытается выйти в инет, аутпост первым делом проверяет ее на spyware? (только не говорите, что в Linux нет спайвары, это исключительно из-за его малой распространенности).

Что может предложить взамен этого iptables? Ничего, только правила фильтровки пакетов... И то, не особо гибкие... (нет уровня приложений)

ladserg пишет

А Outpost это, я даже не смог его классифицировать, то ли текстовый редактор, то ли подколка под брандмауер, в любом случае когда настраиваешь безопасность и в Outpost и в линуксе, то сразу видно убожество Outpost.

И в чем его убожество? В чем его кастрированность? В идеологии? Я выше расписал свои претензии к iptables.

Отредактировано Почесал (18-04-2006 10:45:13)

Отсутствует

 

№64118-04-2006 11:22:32

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Linux vs Windows II: противостояние систем

Почесал пишет
ladserg пишет

А Outpost это, я даже не смог его классифицировать, то ли текстовый редактор, то ли подколка под брандмауер, в любом случае когда настраиваешь безопасность и в Outpost и в линуксе, то сразу видно убожество Outpost.

И в чем его убожество? В чем его кастрированность? В идеологии? Я выше расписал свои претензии к iptables.

Г-н Почесал, я абсолютно не спорю что вы превосходный дизайнер, но то что вы ещё оказывается и прекрасный специалист по информационной безопасности я даже и не знал, ну так и скажите:

- Outpost круче, чем Microsoft ISA Server!

Ну скажите. То что без фотошопа фрезеровщику смерть я ещё поверю, но убедите, что Outpost это крутая прога для защиты.

Даллее:

Почесал пишет
Exlex пишет

А что должен делать файервол ещё, песни петь?

Насколько я помню из своих экспериментов с линуксом, iptables умеет только фильтровать пакеты, идущие по какому-то интерфейсу в каком-то направлении в какой-то порт, а ты уже дописываешь -- accept там,
drop, и так далее.

Вы знаете, а он для этого и создавался, правда там теперь и функциональности поболе. Он может фильтровать, перенапралять, логировать, и не только пакеты идущие по определённому интерфейсу, а пакеты вообще, по разным критериям.

Это же фильтр пакетов, ничего более от него не требуется.

Почесал пишет

Так вот, а в Outpost можно гибко настраивать доступ в сеть для каждого приложения отдельно! То есть этой программе можно делать это, этой программе можно делать вот это, а вот тому вообще ничего не делать, но разрешить коннектиться на такой-то хост такой-то порт за обновлениями.

Ы?

Бред какой-то, а в линуксе просто настроил правила доступа и всё, и никаких трабл с ThunderBird'ом, FireFox'ом, не надо при установке новой аськи заниматься сексом. Он что, для всех нормальную политику доступа выстроить не может?

Почесал пишет

Еще в iptables нет контроля компонентов.

Бред какой то, на кой хрен он мне там сдался? У меня FAM есть, на кой дуделка фильтру?

Почесал пишет

Это когда он мониторит не просто даже приложения, а каждый компонент приложения! И если он изменился, он просигнализирует юзеру.

Ну, я уже сказал, что для этого есть специальное и нормальное ПО, которое и на мыло пишет, и в аську стучит, и т.д.

Почесал пишет

А еще я не помню, может ли iptables управлять доступом по rawsocket? Или тупо по tcp/udp и прочим?

Может. Хотя смотря что вы под эти подразумеваете. Вы сами то этим пользовались? Расскажите о своих случах.

Почесал пишет

А DNS-кэш?

На кой это в фильтре, когда есть стандартные средства для этого? А если у меня DNS стоит, кеширующий? А если я использую прокси? Зачем мне лишний сервис?

Почесал пишет

А модуль мониторинга Spyware? Это когда прога пытается выйти в инет, аутпост первым делом проверяет ее на spyware? (только не говорите, что в Linux нет спайвары, это исключительно из-за его малой распространенности).

Можно пример spyware под линуксом? Вообще в iptables усть логи, которые можно подробно просмотреть на предмет всяких руткитов. Есть netstat, который может тебе сказать о нелегальных коннектах, есть комманда ps.

Почесал пишет

Что может предложить взамен этого iptables? Ничего, только правила фильтровки пакетов... И то, не особо гибкие... (нет уровня приложений)

Правила гибкие, просто это лишь фильтр пакетов, если нужно что-то ещё, то ставьте другой софт.

Концепция юникса заключается в том, что в нём программы выполняет только свои функции и только то, для чего она предназначена.

Такой лабуды, которую вы требуете от фильтра пакетов мне не надо, если она появится, то я сменю линукс на FreeBSD.

Г-н Почесал, если вы сравниваете что то, то сравнивайте с аналогом. Outpost - это брандмауер, iptables - это фильтр пакетов. Под линукс есть брандмауеры, но ими редко пользуются, т.к. плохо настроеный брандмауер может причинить больше вреда, чем его отсутствие вообще.

Отредактировано ladserg (18-04-2006 11:25:28)


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№64218-04-2006 11:42:40

Почесал
Участник
 
Группа: Members
Зарегистрирован: 24-02-2005
Сообщений: 3957

Re: Linux vs Windows II: противостояние систем

Г-н Почесал, я абсолютно не спорю что вы превосходный дизайнер,

Я не дизайнер :)

- Outpost круче, чем Microsoft ISA Server!

Причем тут ISA сервер? Мы сравниваем iptables и outpost.

но убедите, что Outpost это крутая прога для защиты.

А чем она не крутая? Что она не умеет из того, что умеет айпитейблз? А что она умеет из того, что не умеет айпитейблз?

Бред какой-то, а в линуксе просто настроил правила доступа и всё, и никаких трабл с ThunderBird'ом, FireFox'ом, не надо при установке новой аськи заниматься сексом. Он что, для всех нормальную политику доступа выстроить не может?

Дак вот, видите... Этак и Опера будет получать коннект и Фаерфокс и даже какая-нибудь прога будет обновляться по 80 порту? И трояны? Ась? Сексом заниматься не надо, Аутпост сам предлагает хорошие правила для каждого приложения. В крайнем случае создаются они с полпинка (аутпост регистрирует коннект, и ты на основании этого коннекта получаешь шаблон правила, а его уже можешь принять или подкорректировать).

В любом случае, есть такая штука, как Глобальные правила. Это то же самое, что правила в айпитейблз. Можете не заниматься настройкой отдельных правил, а задать глобальные, действующие для всех.

Бред какой то, на кой хрен он мне там сдался? У меня FAM есть, на кой дуделка фильтру?

FAM -- это file alteration monitor? Это немного не то... Посмотрите как реализован контроль компонентов в Outpost, увидите сами :)

Может. Хотя смотря что вы под эти подразумеваете. Вы сами то этим пользовались? Расскажите о своих случах.

Подразумеваю то, чтобы отдельным приложениям, например, разрешать делать вызовы через rawsockets, а другим запрещать. Ибо это потенциальный бекдор (низкоуровневые вызовы).

А если у меня DNS стоит, кеширующий? А если у меня прокси?

А если это можно отключить? А если у меня нет ни ДНС ни прокси?

Можно пример spyware под линуксом?

Да пожалуйста. В домашний каталог ставится какая-нибудь шняга, которая будет воровать все личные данные.

Вообще в iptables усть логи, которые можно подробно просмотреть на предмет всяких руткитов.

В том и дело, что логи можно рассматривать уже после факта хищения. А в аутпосте факт предотвращается.

Г-н Почесал, если вы сравниваете что то, то сравнивайте с аналогом. Outpost - это брандмауер, iptables - это фильтр пакетов.

Г-н ladserg, скажите это господам Belt'у и Exlex'у, которые говорят, что iptables --  это крутой брандмауер.

Отредактировано Почесал (18-04-2006 11:49:04)

Отсутствует

 

№64318-04-2006 11:54:19

ViRUS
ДМБ 2008
 
Группа: Extensions
Откуда: Xa!
Зарегистрирован: 05-11-2004
Сообщений: 1468

Re: Linux vs Windows II: противостояние систем

Подразумеваю то, чтобы отдельным приложениям, например, разрешать делать вызовы через rawsockets, а другим запрещать. Ибо это потенциальный бекдор (низкоуровневые вызовы).

Каким местом это бэкдор? Это всего-лишь способ сформировать не TCP пакет. Например ARP.


Непослушные локоны горничной выбивались из-под её кружевного фартука...

Отсутствует

 

№64418-04-2006 11:57:36

djet
Участник
 
Группа: Extensions
Откуда: 404 Not Found
Зарегистрирован: 20-11-2004
Сообщений: 2611

Re: Linux vs Windows II: противостояние систем

Belt

На workstation вообще слушать порты нечему. Чему там слушать - то?

Сервисам.

ladserg

А как в нем запретить всем вход ко мне на 80-й порт, а себе разрешить выход на 80-й хоть куда? А то колебают уже, дома выйдешь в винде в инет, а какая то падла уже цепанлась к апачу.

Пользуйся политиками IPSEC.

Правда в тех же виндовых файерволах возможностей очень мало, хотя в IA Server может их и больше, но кто из вас может его себе позволить?

А ты их всех перепробовал, чтобы делать такой вывод? Их не меньше пары десятков под win.

плохо настроеный брандмауер может причинить больше вреда, чем его отсутствие вообще.

Чистая правда. Сколько тут было жалоб о том, что Аутпоц блокировал работу Fx? К тому же редкое глюкало и тормоз этот Аутпоц.. пару месяцев назад намучался с ним, и решил, что спокойнее будет жить вообще без фаера, чем с таким.


Без бага и ошибки я софт Mozilla не люблю!
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1
Microsoft® Office Outlook® 2007 (12.0.4518.1014) MSO (12.0.4518.1014)

Отсутствует

 

№64518-04-2006 12:08:07

Malakai
Участник
 
Группа: Members
Зарегистрирован: 07-12-2005
Сообщений: 1280

Re: Linux vs Windows II: противостояние систем

Belt пишет

Многие из тех, кто орут "Линукс в топку" вообще его не юзали. Некоторые попробовали но испугались "не виндоуса". Остальные просто подсели на "свистелки и шуршалки", и уже не могут без этоих наркотиков.
Удачи вам, виндусятники! Скоро получите свой 7 ишак,  VISTA и DRM в придачу. Будете железки каждые пол года выкидывать, так как их "цифровой сертификат" истёк.

Действительно. Полностью согласен. Всё у этих виндузятников как на параде - свистелку с шуршалкой туда, "цифровой сертификат" - сюда, да "извините", да "пожалуйста", "мерси", а так, чтобы по-настоящему, по Unix-way, - это нет. Мучают себя, как при царском режиме. :lol:


Let's flame!

Отсутствует

 

№64618-04-2006 12:28:23

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Linux vs Windows II: противостояние систем

Почесал пишет

Я не дизайнер :)

Гм, видать ошибся.

Почесал пишет

- Outpost круче, чем Microsoft ISA Server!

Причем тут ISA сервер? Мы сравниваем iptables и outpost.

? Почитайте посты выше.

Почесал пишет

А чем она не крутая? Что она не умеет из того, что умеет айпитейблз? А что она умеет из того, что не умеет айпитейблз?

Почесал, сам по себе Outpost по сравнениями с нормальными системами защиты очень беден по функциям, четно. В линуксе используется для сетевой защиты комплекс программ, причем для разных задач разные комплексы.

Почесал пишет

Дак вот, видите... Этак и Опера будет получать коннект и Фаерфокс и даже какая-нибудь прога будет обновляться по 80 порту? И трояны? Ась? Сексом заниматься не надо, Аутпост сам предлагает хорошие правила для каждого приложения. В крайнем случае создаются они с полпинка (аутпост регистрирует коннект, и ты на основании этого коннекта получаешь шаблон правила, а его уже можешь принять или подкорректировать).

Гм, не знаю, надо ребят поспрашивать, самому никогда не требовалось, в линуксе иные опасности, например руткиту, есть даже защиты для них. А программ которые лезут в инет я просто не ставлю, не за чем.

Но я всё равно поищу инфу по этому поводу, специально для вас.

Почесал пишет

Бред какой то, на кой хрен он мне там сдался? У меня FAM есть, на кой дуделка фильтру?

FAM -- это file alteration monitor? Это немного не то... Посмотрите как реализован контроль компонентов в Outpost, увидите сами :)

У меня нет сейчас Outpost'а, да и из линукса перезагружаться неохота. Лучше сами раскажите что в фаме не так?

В линуксе есть средства мониторинга за изменениями в файлах, люди работают под бесправным пользователем и файл могут изменить только зайдя под рутом, в Gentoo Linux вообще половина программ не идёт под рутом, в том числе и KDE.

Есть ещё приблуда, с названием SELinux, там по файловому доступу кучу чего можно сделать. Но это не функции фильтра пакетов.

Почесал пишет

Подразумеваю то, чтобы отдельным приложениям, например, разрешать делать вызовы через rawsockets, а другим запрещать. Ибо это потенциальный бекдор (низкоуровневые вызовы).

У меня просто запрещено всё на вход и форвард, разрешено только нужное, и пусть бэкдор хоть запрыгается, но в инет стукнуть через rawsockets ему никак.

Почесал пишет

А если это можно отключить? А если у меня нет ни ДНС ни прокси?

Под линуксом они поставляются стандартно, чуть ли не на уровне ядра, в красной шапке там раньше вообще желания не спрашивали а просто ставили dnscache. В любом случае это не задачи фильтра пакетов.

Почесал пишет

Да пожалуйста. В домашний каталог ставится какая-нибудь шняга, которая будет воровать все личные данные.

Гм, руткит кажется называется, или червь. Надо поискать инфу на этот счёт, т.к. под линуксом это редкость и подцепить её можно только их FireFox'а или другого браузера.

Почесал пишет

Г-н ladserg, скажите это господам Belt'у и Exlex'у, которые говорят, что iptables --  это крутой брандмауер.

iptables - это не брандмауер, это фильтр пакетов. Пример брандмауера прокси сервер Squid. Брандмауер вообще может не фильтровать пакеты. Есть строгая классификация этих понятий.


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№64718-04-2006 12:38:06

Почесал
Участник
 
Группа: Members
Зарегистрирован: 24-02-2005
Сообщений: 3957

Re: Linux vs Windows II: противостояние систем

Почесал, сам по себе Outpost по сравнениями с нормальными системами защиты очень беден по функциям, четно.

Так и iptables не аппаратный фаервол ;)
И я так подозреваю, что рабочей станции не к чему эти "комплексы сетевой защиты". А iptables мало того, что сложен в освоении, так еще и многого не умеет, что мог бы уметь.

Он достаточен для обеспечения безопасности системы ;) Вообще система не должна требовать фаервола, иначе это дурацкая система. Windows+все обновления прекрасно обходится без него. У меня он стоит только для мониторинга сетевой активности.

А какие сетевые комплексы защиты? Перечислите, пожалуйста, что там такое?

Лучше сами раскажите что в фаме не так?

Я лучше отрывок из мануала к аутпосту дам, сами прочтите (особенно подчеркнутое):

It is important to note that Outpost Personal Firewall does not just monitor applications. It also monitors each component of each application. This is a significant improvement over other personal firewalls because applications typically have dozens of modules, any of which can easily be substituted for by virus or Trojan makers.

If a component of an application has been changed and the application is about to establish a connection, Outpost Firewall will ask you to allow or permit this changed component. The purpose of Component Control is to make sure these components are not fake and malicious.

Some Trojan horses can be injected into a computer system as a module of a legitimate application (for example, your browser) and thus gain the privileges needed for it to connect to the hacker who configured the Trojan.

У меня просто запрещено всё на вход и форвард, разрешено только нужное, и пусть бэкдор хоть запрыгается, но в инет стукнуть через rawsockets ему никак.

rawsocket'ы находятся ниже, чем фильтрация пакетов iptables'ом.

Под линуксом они поставляются стандартно, чуть ли не на уровне ядра, в красной шапке там раньше вообще желания не спрашивали а просто ставили dnscache. В любом случае это не задачи фильтра пакетов.

Аутпост -- это большой комплекс всего (вплоть до баннерорезалки), дружественный в настройке и мощный. А в линуксе как всегда -- вместо одной программы две сотни прог по 2 килобайта, которые друг от друга зависят и каждую надо настраивать отдельно (да еще версии совместимые подбирать).

Отредактировано Почесал (18-04-2006 12:39:31)

Отсутствует

 

№64818-04-2006 12:42:54

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Linux vs Windows II: противостояние систем

djet пишет

Пользуйся политиками IPSEC.

IPSec - это протокол организации шифрованных каналов с использованием цифровых сертификатов. Предлагаете мне сгенерировать сертификат, организовать канал и запретить доступ тем, у кого сертификата нет? Вы сами пробовали сделать то, про что я говорю методом предложенным вами? Буду вам благодарен если пришлёте инструкцию со скриншотами.

А я же использую Anti Port Scanner зайцева для блокировки входа во время хождения по инету.

djet пишет

А ты их всех перепробовал, чтобы делать такой вывод? Их не меньше пары десятков под win.

Я же писал выше, что нет. Я исхожу из той практики, которая у меня была. У меня есть сервера, на которых мне приходится настраивать защиту, это часть моей работы. Microsoft ISA Server нашему предприятию не по карману, да и не особо он нам нужен, т.к. сервак у нас находится в демилитаризированной зоне, за линуксовым файерволом.

djet пишет

плохо настроеный брандмауер может причинить больше вреда, чем его отсутствие вообще.

Чистая правда. Сколько тут было жалоб о том, что Аутпоц блокировал работу Fx? К тому же редкое глюкало и тормоз этот Аутпоц.. пару месяцев назад намучался с ним, и решил, что спокойнее будет жить вообще без фаера, чем с таким.

Это одна из причин, по которой люди не любят брандмауеры. Их кажущаяся лёгкость нередко приводит к серьёзным ошибкам, а если ошибка в самом брандмауере, то бульбец, либо огромная дыра, либо просто заблокирован весь трафик, а то и ещё похуже (например удалённые по подозрению в вирусе нужные файлы).

Отредактировано ladserg (18-04-2006 12:43:18)


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№64918-04-2006 13:20:47

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Linux vs Windows II: противостояние систем

Почесал пишет

Так и iptables не аппаратный фаервол ;)

Ну, да, а должен быть?

Почесал пишет

И я так подозреваю, что рабочей станции не к чему эти "комплексы сетевой защиты". А iptables мало того, что сложен в освоении, так еще и многого не умеет, что мог бы уметь.

Ну почему сложен, я же говорю, что есть стандартные программы оболочки, которые задают вопросы вида:

- В инет ходишь?
- Почту скачиваешь?

а пользователь ему:

- Да
- Да
- Только по пятницам
- НЕТ!!!

Ну и по результатам ответов эти проги настраивают iptables. Сам пользователь ничего не пишет руками, просто несколько раз щёлкнул мышкой. Т.к. я могу и ручками написать правила, то я этими прогами не пользуюсь, но они есть, и в ASPLinux'е в своё время они поставлялись.

Почесал пишет

Он достаточен для обеспечения безопасности системы ;) Вообще система не должна требовать фаервола, иначе это дурацкая система. Windows+все обновления прекрасно обходится без него. У меня он стоит только для мониторинга сетевой активности.

Иногда нужно просто закрыть некоторые сервисы, например у меня стоит РСУБД FirebirdSQL, не давать же к ней доступ всем. Доступ к прокси у меня закрыт из вне, ну и иные сервисы.

Почесал пишет

А какие сетевые комплексы защиты? Перечислите, пожалуйста, что там такое?

Если именно защиты, а не функциональности на вроде DNS, HTTP-Accelerator, то примерно такие:

    iptables - фильтр пакетов

    squid - прокси сервер, позволяет резать разные вещи (скрипты там)

    сканеры почты - отлавливают спам, вирусы, тоже защита
различные запреты на уровне ядра - есть возможность отключить форвард (перессылку пакетов из одной сети в другую), возможность перенаправления пакетов, есть у протокола IP такая штука, когда маршрутизатору дают пакет и говорят перешли его в локальную сеть а ответ передай мне, не путать с NAT, ну и иные ограничения.

   Есть SELinux, это часть ядра, которая накладывает различные ограничения по безопасности, например запрет на уровне ядра руту трогать пользовательские файлы если стоит запрет на изменение всем. Вам наверно известно, root по умолчанию может удалить любой файл, так вот эту возможность можно отключит на уровне ядра. Есть там и другие вкусности, я просто пока подробно не изучал.

    Есть chkrootkit пакет для отслеживания всяких руткитов.

    Есть мониторы следящие за изменениями в файлах.

    Есть мониторы сети, если в локальной сети появляется неизвестный MAC адрес, то они будут вонять до тех пор пока ты либо не занесёшь этот MAC адрес в список известных, либо пока не найдёшь вторженца не оторвешь ему уши вместе с сетевухой. Есть сканеры и по IP адресу.

    Есть iproute2, который позволяет задать пути маршрутов только определённым сетям.

Есть и другие средства.

Почесал пишет

Лучше сами раскажите что в фаме не так?

Я лучше отрывок из мануала к аутпосту дам, сами прочтите (особенно подчеркнутое):

It is important to note that Outpost Personal Firewall does not just monitor applications. It also monitors each component of each application. This is a significant improvement over other personal firewalls because applications typically have dozens of modules, any of which can easily be substituted for by virus or Trojan makers.

If a component of an application has been changed and the application is about to establish a connection, Outpost Firewall will ask you to allow or permit this changed component. The purpose of Component Control is to make sure these components are not fake and malicious.

Some Trojan horses can be injected into a computer system as a module of a legitimate application (for example, your browser) and thus gain the privileges needed for it to connect to the hacker who configured the Trojan.

Ни фига не понимаю в английском.

Почесал пишет

У меня просто запрещено всё на вход и форвард, разрешено только нужное, и пусть бэкдор хоть запрыгается, но в инет стукнуть через rawsockets ему никак.

rawsocket'ы находятся ниже, чем фильтрация пакетов iptables'ом.

Неужели на канальном, а то и на физическом уровне? И как он пошлёт пакет обойдя сетевой и транспортный уровень? Я и не знал, что Outpost может контролировать канальный и физический уровни. Ну канальный бог с ним, может чего то придумали, но физический. Блин куплю эту прогу.

Почесал пишет

Аутпост -- это большой комплекс всего (вплоть до баннерорезалки), дружественный в настройке и мощный.

:) А он может одному компу дать соединение с инетом по модему, а другому по ADSL, при чем что бы у каждого компа была своя таблица маршрутизации. А сбалансировать интернет трафик по двум, трём и более каналам ему слабо? А управлять очередью пакетов, разгружая трафик, он умеет. А пакеты протокола VoIP прослушивать на предмет заложенных фраз он может?

Почесал пишет

А в линуксе как всегда -- вместо одной программы две сотни прог по 2 килобайта, которые друг от друга зависят и каждую надо настраивать отдельно (да еще версии совместимые подбирать).

Не совсем так. В линуксе ставится только то, что нужно. Есть немало маршрутизаторов, которые грузятся с дискетки, для них кэширующий DNS по умолчанию означает, что система прото не влезет на дискету.

К тому же ко всей куче есть FrontEnd'ы и BackEnd'ы. Только вот пользоваться предпочитают самими программами, т.к. вручную настройка почти всегда получается более точной.


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№65018-04-2006 13:49:50

Azathoth
Участник
 
Группа: Extensions
Откуда: Хабаровск
Зарегистрирован: 02-02-2005
Сообщений: 2692

Re: Linux vs Windows II: противостояние систем

Malakai

А по статистике в линуксах вообще больше уязвимостей.

Покажите эту статистику. Прошлая представленная статистика говорила не в пользу Windows, хоть и пытались повернуть факт в удобную сторону.

И к тому же, что значит "в линуксах"? Что вы к этому относите? Весь мир GNU + Linux против дистрибутива Windows?

Почесал

Так вот, а в Outpost можно гибко настраивать доступ в сеть для каждого приложения отдельно! То есть этой программе можно делать это, этой программе можно делать вот это, а вот тому вообще ничего не делать, но разрешить коннектиться на такой-то хост такой-то порт за обновлениями.

... и когда запускается только что поставленная игрушка, разворачивается на весь экран, начинает щупать сеть, а фаерволл спрашивает у юзера пустить ли ее хоть куда-то, но юзер этого не видит из за игрухи. Так и висят, блокируя друг-друга, а пользователь зеленеет от злости :sick: ... Великолепное зрелище :D

Это когда он мониторит не просто даже приложения, а каждый компонент приложения!

И получаем вышеописанную проблему каждый раз после установки патча на прогу/игруху?

Отредактировано Athathoth (18-04-2006 14:14:55)


...она старалась, чтобы я больше времени проводил в разных пионерлагерях и группах продлённого дня - кстати сказать, удивительную красоту последнего словосочетания я вижу только сейчас. (c) Виктор Пелевин

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]