19:00 Fri 19 Dec, Alexey Pechnikov wrote:
>
> На большом экране приходится взгляд перемещать, 15" - это предел окна,
> которое можно зафиксировать
> одним взглядом. Наверное, привычка к книжке, где удобно запоминать страницу
> целиком, а не бегать по
> ней глазами.
Вот именно, что скорее прив
Hello!
В сообщении от Friday 19 December 2008 18:00:10 Victor Wagner написал(а):
> On 2008.12.19 at 17:07:01 +0300, Alexey Pechnikov wrote:
> > Не верю я виндам в этом вопросе - запросто где-то в темпах может
> > оказаться временная копия файла,
>
> А я не верю, я знаю. Для виндов я тоже программи
Twas brillig at 18:53:41 19.12.2008 UTC+03 when pechni...@sandy.ru did gyre and
gimble:
>> Дада. А теперь объясни мне, почему мне не нужно для работы видеть три
>> файла с исходным кодом на всю высоту экраан одновременно.
AP> Метод copy-past изучен в совершенстве? :-)
Для copy-pastE три фай
Hello!
В сообщении от Friday 19 December 2008 18:03:29 Mikhail Gusarov написал(а):
> AP> Большие мониторы видел, но это в основном для игрушек или
> AP> дизайнеров/картографов, для работы они не нужны.
>
> Дада. А теперь объясни мне, почему мне не нужно для работы видеть три
> файла с исходным к
Twas brillig at 17:07:01 19.12.2008 UTC+03 when pechni...@sandy.ru did gyre and
gimble:
AP> Большие мониторы видел, но это в основном для игрушек или
AP> дизайнеров/картографов, для работы они не нужны.
Дада. А теперь объясни мне, почему мне не нужно для работы видеть три
файла с исходным кодо
On 2008.12.19 at 17:07:01 +0300, Alexey Pechnikov wrote:
>
> Не верю я виндам в этом вопросе - запросто где-то в темпах может
> оказаться временная копия файла,
А я не верю, я знаю. Для виндов я тоже программирую.
И что нужно сделать с ключом, чтобы он никуда там не попал, более менее
предста
Hello!
> Неверно. Во-первых, у меня не смартфон, а максимально простой телефон на
> S40. Но там есть midpssh, и если очень нужно, то можно.
> Так что linux на клиенском устройстве - совершенно необязателен для
> того, чтобы там был ssh.
Не знал про midpssh, это интересно.
> Стирать надо уметь. Е
Игорь Чумак -> debian-russian@lists.debian.org @ Fri, 19 Dec 2008 12:44:45
+0200:
>> Народ, Вы тут правильные вещи обсуждаете. Предлагаю, только раз и на
>> всегда определиться в тем, что VPN и SSH это разные "вещи", они решают
>> разные задачи, поэтому сравнивать их можно ТОЛЬКО в контексте
On 2008.12.19 at 12:37:52 +0200, Покотиленко Костик wrote:
> В Птн, 19/12/2008 в 13:31 +0300, Victor Wagner пишет:
> > On 2008.12.19 at 12:10:58 +0200, Покотиленко Костик wrote:
> >
> > >
> > > В перспективе, да. Но, если в VPN нужен, как без него?
> >
> > Вообще-то openssh начиная с версии по-
Покотиленко Костик пишет:
-
Народ, Вы тут правильные вещи обсуждаете. Предлагаю, только раз и на
всегда определиться в тем, что VPN и SSH это разные "вещи", они решают
разные задачи, поэтому сравнивать их можно ТОЛЬКО в контексте вариантов
решения конкретной задачи.
SSH: даёт доступ на машину
VP
В Птн, 19/12/2008 в 13:31 +0300, Victor Wagner пишет:
> On 2008.12.19 at 12:10:58 +0200, Покотиленко Костик wrote:
>
> >
> > В перспективе, да. Но, если в VPN нужен, как без него?
>
> Вообще-то openssh начиная с версии по-моему 4 сам умеет быть VPN
Вы про что? Если про -L & -R, то это не VPN, а
On 2008.12.19 at 12:10:58 +0200, Покотиленко Костик wrote:
>
> В перспективе, да. Но, если в VPN нужен, как без него?
Вообще-то openssh начиная с версии по-моему 4 сам умеет быть VPN
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble?
В Чтв, 18/12/2008 в 20:56 +0300, Denis B. Afonin пишет:
> Здравствуйте.
>
> On Thu, 18 Dec 2008 17:05:22 +0300
> Artem Chuprina wrote:
> > DBA> Именно поэтому после него идет аутентификация по PKI ;)
> >
> > Угу. А теперь подумай, что будет, если этот shared secret
> > скомпрометирован (украли
В Чтв, 18/12/2008 в 23:37 +0300, Alexey Pechnikov пишет:
> Hello!
>
> > Примерно так: у каждого датацентра есть по своей внутренней
> > "управляющей" сетке, только внутри которой разрешены ssh (и иные вещи
> > типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP),
> > например). А в эт
On 2008.12.19 at 02:26:32 +0300, Alexey Pechnikov wrote:
>
> > > А как вы зайдете с _чужого_ компьютера или устройства?
> > > о паролю вход запрещен, а свой ключ
> >
> > А зачем? У меня своих устройств откуда я могу зайти в норме с собой три.
>
> Наверное, ноут + смартфон, а что еще? Притом лину
Hello!
> В последнем, кстати, в конце строчки ключа обычно присутствует hostname
> машины, на котором он генерировался. А уж hostname своих устройств я
> помню.
И в самом деле перепутал.
> > А как вы зайдете с _чужого_ компьютера или устройства?
> > о паролю вход запрещен, а свой ключ
>
> А заче
Alexey Pechnikov -> debian-russian@lists.debian.org @ Thu, 18 Dec 2008
23:43:09 +0300:
>> Ну так это PasswordAuthentication no
>> в /etc/sshd/sshd_config.
>> И пусть уподбираются. Естественно, на каждом носимом с собой устройстве
>> (ноутбуке, наладоннике, телефоне) должен быть индивидуальн
On 2008.12.18 at 23:43:09 +0300, Alexey Pechnikov wrote:
> Hello!
>
> > Ну так это PasswordAuthentication no
> > в /etc/sshd/sshd_config.
> > И пусть уподбираются. Естественно, на каждом носимом с собой устройстве
> > (ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный
> > клю
Здравствуйте.
On Thu, 18 Dec 2008 23:33:41 +0300
Artem Chuprina wrote:
> DBA> Я лишь предлагаю использовать openvpn для доступа к некой
> DBA> промежуточной сети, из-под которой уже можно входить на ssh
> DBA> серверов. Контролировать одну маленькую внутреннюю сеточку
> DBA> намного проще, ч
Здравствуйте.
On Thu, 18 Dec 2008 23:37:29 +0300
Alexey Pechnikov wrote:
> Если у вас на одной машине и openvpn и openssh то вы тратите время на
> иллюзию защиты. Установив на одном сервере больше софта, вы теряете в
> управляемости и получаете больше уязвимостей.
С теорией я знаком, а также знак
Hello!
> Ну так это PasswordAuthentication no
> в /etc/sshd/sshd_config.
> И пусть уподбираются. Естественно, на каждом носимом с собой устройстве
> (ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный
> ключ, который в случае утраты данного устройства можно оперативно из
> всех
Denis B. Afonin -> debian-russian@lists.debian.org @ Thu, 18 Dec 2008 20:56:10
+0300:
DBA> Я лишь предлагаю использовать openvpn для доступа к некой
DBA> промежуточной сети, из-под которой уже можно входить на ssh
DBA> серверов. Контролировать одну маленькую внутреннюю сеточку намного
DBA> п
Hello!
> Примерно так: у каждого датацентра есть по своей внутренней
> "управляющей" сетке, только внутри которой разрешены ssh (и иные вещи
> типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP),
> например). А в эту сетку уже пускает openvpn с (назовем её так)
> "машины-файрвола".
>
Здравствуйте.
On Thu, 18 Dec 2008 22:08:08 +0300
Alexey Pechnikov wrote:
> > Я лишь предлагаю использовать openvpn для доступа к некой
> > промежуточной сети, из-под которой уже можно входить на ssh
> > серверов. Контролировать одну маленькую внутреннюю сеточку намного
> > проще, чем весь интерне
Hello!
В сообщении от Thursday 18 December 2008 20:56:10 Denis B. Afonin написал(а):
> Согласен. Shared key - фактически лишь защита от флуда и от
> "посторонних глаз", больше никак её рассматривать нельзя. И с этой
> задачей он справляется вполне неплохо.
>
> Я лишь предлагаю использовать openvpn
Здравствуйте.
On Thu, 18 Dec 2008 17:05:22 +0300
Artem Chuprina wrote:
> DBA> Именно поэтому после него идет аутентификация по PKI ;)
>
> Угу. А теперь подумай, что будет, если этот shared secret
> скомпрометирован (украли одну из машин, которая его знала).
>
> Правильно, ситуация становится э
18.12.08, 16:48, "Artem Chuprina" :
> >> Довольно давно в некоторых отраслях IT паранойя - критерий
> >> профпригодности.
> >> А Эйрел Форкосиган, помнится, говаривал "паранойя - залог здоровья".
> DM> Не знаком :) Я там не случайно поставил ехидный смайл. Давно знаком
> DM> с концепцией "выж
Wed, 17 Dec 2008 16:27:18 +0300
Mikhail A Antonov wrote:
> -[ Покотиленко Костик 17/12/2008 16:05 (GMT +3)
> > Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи
> > того же ssh и банящее ботов в iptables. Сам по себе анализ
> > постоянный логов как процесс у меня вызывает отвращение
Victor Wagner -> debian-russian@lists.debian.org @ Thu, 18 Dec 2008 17:07:17
+0300:
>> GS> Так что в схеме с двумя хостами под одной ОС я не вижу смысла - она
>> GS> увеличивает парк железа без осмысленного увеличения безопасности.
>>
>> Кто-то, кстати, делал файрвол виртуальной машиной н
On 2008.12.18 at 17:00:17 +0300, Artem Chuprina wrote:
>
> GS> Так что в схеме с двумя хостами под одной ОС я не вижу смысла - она
> GS> увеличивает парк железа без осмысленного увеличения безопасности.
>
> Кто-то, кстати, делал файрвол виртуальной машиной на защищаемом хосте...
Это что-то из
Denis B. Afonin -> debian-russian@lists.debian.org @ Wed, 17 Dec 2008 22:24:25
+0300:
>> >> DBA> PS До сих пор еще встречаю идиотов, у которых ssh открыт на
>> >> DBA> весь мир :)
>> >> У меня нет уверенности, что openvpn, открытый на весь мир,
>> >> лучше...
>> DBA> См. man openvpn
Покотиленко Костик -> debian-russian@lists.debian.org @ Thu, 18 Dec 2008
12:12:59 +0200:
>> >> VW> Увы, если уж мы про remote root exploit, или хотя бы remote shell,
>> >> VW> то его достаточно одного. Во внешнем слое защиты.
>> >> Ну почему же? Сервер OpenVPN сделать изолированным от всего
George Shuklin -> debian-russian@lists.debian.org @ Thu, 18 Dec 2008 00:49:09
+0300:
GS> Есть ещё одна "сложность" - это "сложность обслуживания". В
GS> переводе на мелкософтовского-буржуйский - TCO. Сколько денег нам
GS> потребуется на стаю спецов по каждой из железок. Причём, в месяц (а
GS
>> Вот не знаю, lenny уже собирают с SSP или нет?
> Нет. По крайней мере, большинство пакетов.
Жаль. А надо бы.
--
Best regards, Aleksey Cheusov.
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
George Shuklin -> debian-russian@lists.debian.org @ Wed, 17 Dec 2008 22:56:27
+0300:
GS> Тезис же о том, что увеличение уровня безопасности уменьшает
GS> надёжность системы совершенно правильный. Разумеется, машина без
GS> файрвола, пускающая без паролей надёжнее, чем спрятанная за
GS> отдел
Dmitry Marin -> debian-russian@lists.debian.org @ Wed, 17 Dec 2008 23:06:47
+0300:
>> > > Так что в линии паранойи всё начинается с наличия пароля на ssh
>> >
>> > С каких пор паранойя стало явлением, на котрое надо равняться? ;)
>>
>> Довольно давно в некоторых отраслях IT паранойя - кр
Alexey Pechnikov -> debian-russian@lists.debian.org @ Thu, 18 Dec 2008
13:23:57 +0300:
>> > Так секьюрити апдейты должны быть как раз превентивной мерой.
>>
>> Race condititon получается.
>>
>> Что произойдет быстрее - багу обнаружат "хорошие парни", исправят,
>> выпустят апдейт, ты об это
Aleksey Cheusov wrote:
> Вот не знаю, lenny уже собирают с SSP или нет?
Нет. По крайней мере, большинство пакетов.
--
Eugene V. Lyubimkin aka JackYF, JID: jackyf.devel(maildog)gmail.com
Ukrainian C++ Developer, Debian Maintainer, APT contributor
signature.asc
Description: OpenPGP digital signa
В Чтв, 18/12/2008 в 13:40 +0300, Mikhail A Antonov пишет:
> -[ Покотиленко Костик 17/12/2008 16:36 (GMT +3)
> > Fail2ban scans log files like /var/log/pwdfail
> > or /var/log/apache/error_log and bans IP
> > ^^^
> > that makes too many password failures. It updates firewall rul
Hello!
> Вопрос не в вооруженной группе. Вопрос в китайском спаммере.
> То что китайский спаммер читает багтрак и узнает о дырке в openssh
> на некоторое время раньше, чем большинство адаминов я уверен.
>
> Вопрос в том, успеет ли он проэксплойтить твою машину, прежде чем ты
> прочитаешь debian-an
On 2008.12.18 at 13:23:57 +0300, Alexey Pechnikov wrote:
> Hello!
>
> > > Так секьюрити апдейты должны быть как раз превентивной мерой.
> >
> > Race condititon получается.
> >
> > Что произойдет быстрее - багу обнаружат "хорошие парни", исправят,
> > выпустят апдейт, ты об этом узнаешь и установи
-[ Покотиленко Костик 17/12/2008 16:36 (GMT +3)
> Fail2ban scans log files like /var/log/pwdfail
> or /var/log/apache/error_log and bans IP
> ^^^
> that makes too many password failures. It updates firewall rules to
> reject the IP address.
Тем не менее, ssh оно умеет смотреть.
Hello!
В сообщении от Thursday 18 December 2008 11:45:26 yuri.nefe...@gmail.com
написал(а):
> Программа хорошая, использую уже несколько лет, но к iptables
> не имеет никакого отношения. Она тупо заносит ip в hosts.deny.
> Соответственно если тот же host занесён в hosts.allow, то
> ср
Hello!
> > Так секьюрити апдейты должны быть как раз превентивной мерой.
>
> Race condititon получается.
>
> Что произойдет быстрее - багу обнаружат "хорошие парни", исправят,
> выпустят апдейт, ты об этом узнаешь и установишь, или ее обнаружат
> "плохие парни" и проэксплойтят?
>
> Шансы на первое
В Срд, 17/12/2008 в 19:54 +0300, Dmitry Marin пишет:
> George Shuklin wrote:
> > 17.12.08, 19:35, "Mikhail Gusarov" :
> >
> >> VW> Увы, если уж мы про remote root exploit, или хотя бы remote shell,
> >> VW> то его достаточно одного. Во внешнем слое защиты.
> >> Ну почему же? Сервер OpenVPN сдела
В Чтв, 18/12/2008 в 10:57 +0300, Peter Teslenko пишет:
> Покотиленко Костик wrote:
> > Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
> > ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
> > процесс у меня вызывает отвращение, может есть в виде плагин
В Срд, 17/12/2008 в 16:27 +0300, Mikhail A Antonov пишет:
> -[ Покотиленко Костик 17/12/2008 16:05 (GMT +3)
> > Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
> > ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
> > процесс у меня вызывает отвращение,
>> Вы можете назвать случаи, чтобы взламывали именно openssh-server и
>> не методом подбора/кражи пароля?
> Помнится, какие-то секьюрити апдейты у openssh были.
Являлись ли они критичными для openssh,
- собранного со stack-smashing-protection,
- работающего на аппаратной платформе со стеком, ра
On Thu, 18 Dec 2008, Peter Teslenko wrote:
Покотиленко Костик wrote:
Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
процесс у меня вызывает отвращение, может есть в виде плагинов или ещё
чего нечто,
Покотиленко Костик wrote:
Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
процесс у меня вызывает отвращение, может есть в виде плагинов или ещё
чего нечто, что по данным демонов (ssh, smtpd, etc) може
On 2008.12.18 at 01:08:20 +0300, Alexey Pechnikov wrote:
> Hello!
>
> В сообщении от Wednesday 17 December 2008 23:58:51 Victor Wagner написал(а):
> > On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
> > > Вы можете назвать случаи, чтобы взламывали именно openssh-server и не
> > > методом
Hello!
В сообщении от Wednesday 17 December 2008 23:58:51 Victor Wagner написал(а):
> On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
> > Вы можете назвать случаи, чтобы взламывали именно openssh-server и не
> > методом подбора/кражи пароля?
>
> Помнится, какие-то секьюрити апдейты у open
17.12.08, 23:47, "Dmitry Marin" :
> > > Из-за увеличения сложности повышается вероятность как отказа так и
> > Паранойя - это проф. ориентир для администраторов безопасности. Если что-то
> > (кто-то) в теории может сделать что-то плохое, то значит надо исходить из
> > того, что он это сделает и
On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
> Вы можете назвать случаи, чтобы взламывали именно openssh-server и не методом
> подбора/кражи пароля?
Помнится, какие-то секьюрити апдейты у openssh были. Не считая
последнего, связанного с отрыванием случайности от openssl.
> Я вот не
Hello!
В сообщении от Wednesday 17 December 2008 22:47:58 Victor Wagner написал(а):
> > > Так что в линии паранойи всё начинается с наличия пароля на ssh
> >
> > С каких пор паранойя стало явлением, на котрое надо равняться? ;)
>
> Довольно давно в некоторых отраслях IT паранойя - критерий
> профп
В Срд, 17/12/2008 в 22:56 +0300, George Shuklin пишет:
>
> > Из-за увеличения сложности повышается вероятность как отказа так и
> Паранойя - это проф. ориентир для администраторов безопасности. Если что-то
> (кто-то) в теории может сделать что-то плохое, то значит надо исходить из
> того, что о
Hello!
В сообщении от Wednesday 17 December 2008 12:56:11 Denis B. Afonin написал(а):
> PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир
За пределами локалки тоже есть сервера и с ними надо работать. Про датацентры,
к примеру, в сша, вы
хотя бы слышали? Если же вы на сервере
В Срд, 17/12/2008 в 22:47 +0300, Victor Wagner пишет:
> On 2008.12.17 at 22:38:20 +0300, Dmitry Marin wrote:
>
> > В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет:
> > > Так что в линии паранойи всё начинается с наличия пароля на ssh
> >
> > С каких пор паранойя стало явлением, на котрое н
17.12.08, 22:38, "Dmitry Marin" :
> > Так что в линии паранойи всё начинается с наличия пароля на ssh
> С каких пор паранойя стало явлением, на котрое надо равняться? ;)
> > Моё имхо, что здравое место в этой линейке - в просто хорошем пароле
> > на ssh. Хотя, конечно, если конфигурация предусм
On 2008.12.17 at 22:38:20 +0300, Dmitry Marin wrote:
> В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет:
> > Так что в линии паранойи всё начинается с наличия пароля на ssh
>
> С каких пор паранойя стало явлением, на котрое надо равняться? ;)
Довольно давно в некоторых отраслях IT паранойя
Здравствуйте.
On Wed, 17 Dec 2008 19:10:24 +0300
Artem Chuprina wrote:
> >> DBA> PS До сих пор еще встречаю идиотов, у которых ssh открыт на
> >> DBA> весь мир :)
> >> У меня нет уверенности, что openvpn, открытый на весь мир,
> >> лучше...
> DBA> См. man openvpn на предмет tls-auth (плюс
В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет:
> Так что в линии паранойи всё начинается с наличия пароля на ssh
С каких пор паранойя стало явлением, на котрое надо равняться? ;)
> Моё имхо, что здравое место в этой линейке - в просто хорошем пароле
> на ssh. Хотя, конечно, если конфигур
17.12.08, 19:54, "Dmitry Marin" :
> >> VW> Увы, если уж мы про remote root exploit, или хотя бы remote shell,
> >> VW> то его достаточно одного. Во внешнем слое защиты.
> >> Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
> >> гейтом "внутрь".
> > Вообще, если говорить про
George Shuklin wrote:
17.12.08, 19:35, "Mikhail Gusarov" :
VW> Увы, если уж мы про remote root exploit, или хотя бы remote shell,
VW> то его достаточно одного. Во внешнем слое защиты.
Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
гейтом "внутрь".
--
Вообще, если гов
17.12.08, 19:35, "Mikhail Gusarov" :
> VW> Увы, если уж мы про remote root exploit, или хотя бы remote shell,
> VW> то его достаточно одного. Во внешнем слое защиты.
> Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
> гейтом "внутрь".
> --
Вообще, если говорить про наст
Twas brillig at 19:34:02 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre and
gimble:
VW> Увы, если уж мы про remote root exploit, или хотя бы remote shell,
VW> то его достаточно одного. Во внешнем слое защиты.
Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
гейтом "вн
On 2008.12.17 at 20:07:21 +0600, Mikhail Gusarov wrote:
>
> Twas brillig at 17:01:19 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre
> and gimble:
>
> >> Минимум неинтересен. Каков максимум?
>
> VW> Максимум - рут эксплойт в sshd и машина поиметая до того, как ты
> VW> успел поставить ап
Denis B. Afonin -> debian-russian@lists.debian.org @ Wed, 17 Dec 2008 17:45:26
+0300:
>> DBA> PS До сих пор еще встречаю идиотов, у которых ssh открыт на
>> DBA> весь мир :)
>> У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
DBA> См. man openvpn на предмет tls-auth (плю
12:56 Wed 17 Dec , Denis B. Afonin wrote:
> PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
И чем это плохо? Если у админа голова на плечах + что-то типа ssh+fail2ban
вполне себе решение.
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a s
On Wed, 17 Dec 2008 15:27:54 +0300
Artem Chuprina wrote:
> DBA> PS До сих пор еще встречаю идиотов, у которых ssh открыт на
> DBA> весь мир :)
> У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
См. man openvpn на предмет tls-auth (плюс нестандартный UDP-порт и,
конечно же, PK
Denis B. Afonin пишет:
Здравствуйте.
On Wed, 17 Dec 2008 12:38:19 +0200
Игорь Чумак wrote:
PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь
мир :)
И чем это им (идиотам) грозит?
Минимум - постоянные посторонние записи в логах от ботов, пытающихся
подобрать паро
Twas brillig at 17:01:19 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre and
gimble:
>> Минимум неинтересен. Каков максимум?
VW> Максимум - рут эксплойт в sshd и машина поиметая до того, как ты
VW> успел поставить апдейт.
Да, пожалуй, имеет смысл. Два эксплоита в одно время на два разных
On 2008.12.17 at 15:27:54 +0300, Artem Chuprina wrote:
> Denis B. Afonin -> debian-russian@lists.debian.org @ Wed, 17 Dec 2008
> 12:56:11 +0300:
>
> DBA> PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
>
> У меня нет уверенности, что openvpn, открытый на весь мир, лучш
On 2008.12.17 at 18:13:50 +0600, Mikhail Gusarov wrote:
>
> Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and
> gimble:
>
> DBA> Минимум - постоянные посторонние записи в логах от ботов,
> DBA> пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с
> DBA
On 2008.12.17 at 14:56:43 +0300, Denis B. Afonin wrote:
> Здравствуйте.
>
> On Wed, 17 Dec 2008 12:38:19 +0200
> Игорь Чумак wrote:
> > > PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь
> > > мир :)
> > И чем это им (идиотам) грозит?
> Минимум - постоянные посторонние записи в л
-[ Покотиленко Костик 17/12/2008 16:05 (GMT +3)
> Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
> ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
> процесс у меня вызывает отвращение, может есть в виде плагинов или ещё
> чего нечто, что по данным де
В Срд, 17/12/2008 в 15:22 +0300, George Shuklin пишет:
>
> 17.12.08, 13:38, "Игорь Чумак" :
>
> > > Ну почему же совсем не годится... Само по себе - соглашусь, а вот в
> > > совокупности с ssh как дополнительная прослойка, пускающая в некую
> > > промежуточную псевдопривилигированную сеть, откуда
Denis B. Afonin -> debian-russian@lists.debian.org @ Wed, 17 Dec 2008 12:56:11
+0300:
DBA> PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
--
Artem Chuprina
RFC2822: Jabber: r...@jabber.ran.pp.ru
Un
17.12.08, 13:38, "Игорь Чумак" :
> > Ну почему же совсем не годится... Само по себе - соглашусь, а вот в
> > совокупности с ssh как дополнительная прослойка, пускающая в некую
> > промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh -
> > вполне себе ничего ;)
> > Хотяб в плане л
В Срд, 17/12/2008 в 18:13 +0600, Mikhail Gusarov пишет:
> Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and
> gimble:
>
> DBA> Минимум - постоянные посторонние записи в логах от ботов,
> DBA> пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с
> DBA> ss
В Срд, 17/12/2008 в 12:56 +0300, Denis B. Afonin пишет:
> PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
Подробнее можно?
--
Покотиленко Костик
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact list
Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and
gimble:
DBA> Минимум - постоянные посторонние записи в логах от ботов,
DBA> пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с
DBA> sshguard, все равно анализировать такие логи на попытки
DBA> несанкц
Здравствуйте.
On Wed, 17 Dec 2008 12:38:19 +0200
Игорь Чумак wrote:
> > PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь
> > мир :)
> И чем это им (идиотам) грозит?
Минимум - постоянные посторонние записи в логах от ботов, пытающихся
подобрать пароль на логины а-ля vanya (пусть да
Denis B. Afonin пишет:
On Fri, 12 Dec 2008 13:45:22 +0300
Artem Chuprina wrote:
У openvpn, начнем с, есть принципиальные грабли в безопасности по
сравнению с ssh. Обходить их можно, но очень геморройно получается.
Они становятся заметны, когда разным VPN-клиентам нужно давать разный
доступ.
On Fri, 12 Dec 2008 13:45:22 +0300
Artem Chuprina wrote:
> У openvpn, начнем с, есть принципиальные грабли в безопасности по
> сравнению с ssh. Обходить их можно, но очень геморройно получается.
> Они становятся заметны, когда разным VPN-клиентам нужно давать разный
> доступ.
>
> Хотя на своих з
> Только вот Cisco IOS почему-то не поддерживает ГОСТ 28147-89,
> 34.10-2001 и т.д.
Ставьте NME-RVPN ;)
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
В Пнд, 15/12/2008 в 16:16 +0300, Max Kosmach пишет:
> Покотиленко Костик пишет:
>
> >> Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу
> >> сказать,
> >> что это как раз вполне часто встречается, к сожалению. И что самое
> >> печальное - часто бить таких админов невозможно по
Покотиленко Костик пишет:
>> Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу
>> сказать,
>> что это как раз вполне часто встречается, к сожалению. И что самое
>> печальное - часто бить таких админов невозможно по тем или иным
>> причинам. Вот и приходится людям изобретать IKE
Peter Teslenko пишет:
> Max Kosmach wrote:
>
>> Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу
>> сказать,
>> что это как раз вполне часто встречается, к сожалению. И что самое
>> печальное - часто бить таких админов невозможно по тем или иным
>> причинам. Вот и приходится лю
В Пнд, 15/12/2008 в 13:59 +0300, Max Kosmach пишет:
> Покотиленко Костик пишет:
>
> >> >> Данная проблема бывает ровно от соединения PMTU discovery с brain-dead
> >> >> администратором. По отдельности оно не ломается. И поскольку хану мы
> >> >> не лечим, то чинить можно только зажиманием MTU
Max Kosmach wrote:
Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу
сказать,
что это как раз вполне часто встречается, к сожалению. И что самое
печальное - часто бить таких админов невозможно по тем или иным
причинам. Вот и приходится людям изобретать IKE Fragmentation, IKEv2
Покотиленко Костик пишет:
>> >> Данная проблема бывает ровно от соединения PMTU discovery с brain-dead
>> >> администратором. По отдельности оно не ломается. И поскольку хану мы
>> >> не лечим, то чинить можно только зажиманием MTU.
>>
>> ПК> Где почитать можно, я неверное с этой разновиднос
Покотиленко Костик -> debian-russian@lists.debian.org @ Sat, 13 Dec 2008
14:57:45 +0200:
>> ПК> Если подытожить, PMTU и MSS=PMTU спасают от 99% проблем для TCP, а
>> ПК> UDP и остальные как повезёт, или пройдут по PMTU или будут
>> ПК> фрагментированы. Есть поправки?
>>
>> Чтобы MSS=PMT
Alexey Pechnikov -> debian-russian@lists.debian.org @ Sun, 14 Dec 2008
16:59:39 +0300:
>> Так вот, собственно. Когда у тебя свой туннель и есть проблемы с PMTU
>> discovery, часто стоит подрезать MTU на его входе на 40 байт один-два
>> раза.
AP> А почему именно 40 байт? Это эмпирика или
Hello!
В сообщении от Friday 12 December 2008 22:40:33 Artem Chuprina написал(а):
> Так вот, собственно. Когда у тебя свой туннель и есть проблемы с PMTU
> discovery, часто стоит подрезать MTU на его входе на 40 байт один-два
> раза.
А почему именно 40 байт? Это эмпирика или теория?
Best rega
На Wed, 10 Dec 2008 22:48:17 +0300
Victor Wagner записано:
> On 2008.12.10 at 18:33:56 +0300, Artem Chuprina wrote:
>
> >
> > Если мне надо дать возможность (плюс-минус любому) юзеру
> > передернуть, допустим, принт-сервер, я пишу скрипт и пишу в sudoers
> >
> > %users (ALL) = NOPASSWD: /that/
На Fri, 12 Dec 2008 20:23:06 +0200
Покотиленко Костик записано:
> Отослал письмо не дописав, сорьки.
> Зачем гадать, и так ясно, бить таких админов надо. Только это очень
> большая редкость когда блокируют исходящие icmp, по сравнению с тем,
> как блокируют входящие.
Ой как тебе повезло...
--
B
В Fri, 12 Dec 2008 22:35:10 +0300, Artem Chuprina пишет:
Покотиленко Костик -> debian-russian@lists.debian.org @ Fri, 12 Dec
2008 20:23:06 +0200:
>> >> >> 3) "Продвинутые" сисадмины по дороге не слышали про
PMTU, и вместо
>> >> >> возвращения Fragmentation needed пакет просто проп
В Fri, 12 Dec 2008 22:40:33 +0300, Artem Chuprina пишет:
Покотиленко Костик -> debian-russian@lists.debian.org @ Fri, 12 Dec
2008 20:16:23 +0200:
ПК> Если подытожить, PMTU и MSS=PMTU спасают от 99% проблем для TCP, а
ПК> UDP и остальные как повезёт, или пройдут по PMTU или будут
ПК> фраг
Покотиленко Костик -> debian-russian@lists.debian.org @ Fri, 12 Dec 2008
20:16:23 +0200:
ПК> Если подытожить, PMTU и MSS=PMTU спасают от 99% проблем для TCP, а
ПК> UDP и остальные как повезёт, или пройдут по PMTU или будут
ПК> фрагментированы. Есть поправки?
Чтобы MSS=PMTU спасло, надо, во-
Результаты 1 - 100 из 193 matches
Mail list logo
