Размышления о файрволлах (отрезано от обсуждения миниатюрного HP)

[Bluetooth]

А обычный юзер ставит систему раз в 1-2 года, далее пользуется ей и все. Вы мыслите как сис админ, потому-что это ваша работа. Все логично, вы постоянно этим пользуетесь, потому разумно и экономнее 1 раз все выучить.

я это все говорил про использование клавиатуры в работе с повседневными прикладными программами. которыми постоянно пользуется не только сисадмин. при этом гуевость программы значения особого не имеет. это что касается управления с клавиатуры. что касается использования шелла и консольных утилит - то он при должном уровне владения позволит решать самые всевозможные задачи эффективно и быстро. другое дело, что далеко не каждый пользователь готов освоить его и пользоваться им(кому-то вообще внешне терминал не нравится ). потому-то и популярен гуй. но и в гуе можно щелкать мышкой, работая со скоростью черепахи, или же использовать клавиатуру тоже или только клавиатуру. скорость работы повысится намного, но для этого надо будет помнить клавиатурные сочетания. но лучше один раз запомнить, чем работать со скоростью черепахи. вот как-то так.

А систему админить и с протоколами воевать мне не надо постоянно, это сис админам надо.

а зачем вам тогда аутпост? ведь исходя из ваших речей вы очень любите читать, что он вам пишет, баловаться с блокировкой соединений, рассуждать на тему уязвимостей. Создается впечатление, будто вам это надо(При том, что вы не хотите разобраться в вопросе хоть чуть-чуть )

Я их не буду юзать ежедневно. Понимаете? Массовому юзеру НЕ надо это! Им надо 1 раз поставить систему (без гемора) и работать.

для того, чтоб работать без гемора, нужно обладать приличными знаниями. иначе гемор и постоянные вызовы профи - обеспечены.
кстати, вы как-то странно скачете с мысли на мысль, и я за вами

[Ayanami-kun]

Этими сочетаниями клавиш я пользуюсь каждый день по многу раз, постоянно,

Видимо, постоянно пользоваться консолью вам религия запрещает. Ну и тыкайте своей мышкой в свои кнопочки. Еще один... Великую Истину нам пришел рассказывать.

[Fkabir]

Этими сочетаниями клавиш я пользуюсь каждый день по многу раз, постоянно,

Видимо, постоянно пользоваться консолью вам религия запрещает. Ну и тыкайте своей мышкой в свои кнопочки. Еще один... Великую Истину нам пришел рассказывать.

Нет, надо так...
- Ишь, интялигент несчастный! Вырастили на свою голову!


ОК, я вижу, что дискуссия только повторяется. Я высказал свое мнение, что линуксу на десктопе нужен нормальный GUI + автоматизация кучи процессов (определение оборудования и автоматом установка дров, выход в инет без костылей и командной строки и т.п.). Кому-то кажется, что круто так, как придумали уже надцать лет назад, и ничего нового не надо. Каждый пусть останется тогда при своем мнении. Я свое мнение навязывать не буду никому. Но только отмечу, что не замечать, что на десктопе правит бал нормальный GUI - верх глупости и фанатизма (в плохом понимании этого слова).
Да, кто-то может не соглашаться. Но смысла далее дискутировать не вижу...

[/dev/random]

Кому-то кажется, что круто так, как придумали уже надцать лет назад, и ничего нового не надо.

GUI и CLI придумали одновременно, в начале 70-х. Тем не менее, вы почему-то постоянно утверждаете, будто GUI современнее, чем CLI.

[Bluetooth]

ОК, я вижу, что дискуссия только повторяется.

она повторяется уже по пятому-десятому кругу, а вы только щас заметили)

Но только отмечу, что не замечать, что на десктопе правит бал нормальный GUI - верх глупости и фанатизма (в плохом понимании этого слова).

вам вообще люди про другое говорили...ну да ладно...

[strah]

автоматизация кучи процессов

А я то наивно думал, что линукс автоматизировать гораздо легче, чем винду (потому, что в линуксе есть развитый шелл, и линукс ориентирован на CLI).

[Davinel]

Если все же вернутся к фаерволам, я не очень понимаю в чем собственно проблема? Графические настройщики фаервалов под линукс есть, довольно простые и очевидные.
Для обнаружение/предотвращения вторжений есть snort, не знаю как там у него с графическими настройщиками правда, но один раз настроить можно и через конфиг, так же есть тулзы которые читая логи снорта могут автоматически блокировать пакеты, выдавать предупреждения ну и т.д., прям как аутпост.
Что собственно не нравится то? То, что этого по умолчанию в дистрибутивах нет? Ну так оно подавляющему большинству пользователей и не надо. Хотя вот например в centos было что то похожее.
Или что оно выглядит не один в один как аутпост? Ну тогда уж извините, боюсь это никак не поправить..

[yamah]

На десктопах линукс занимает менее 1%

Браво!
Вы даже не удосужились в Гугле поискать "статистика использвования ОС на десктопе"
То на странице SecurityLab-а увидели вот эту ссылку. Замечу, что это статистика только по США. Европейскаое агенство по статистики выдает другие результаты, не в пользу виндовз. Тем более, что по данным тогоже Европейского агенства. легально ОС от MS пользуются только 22 % пользователей винды. Ну и где же тут "менее 1%"? Или вам бы лишь ляпнуть?

Используя Flashget

и другие довнлоад-менеджеры вы рискуете притащить на компьютер вирус.
Если в загашниках скриптов найду, то запостю сюда ява-скрипт, размещаемый на странице, для загрузки менеджерами закачек файла и выполнения его. Антивирус не спасает.

И заодно перечислите этих самих "ведущих", это не Фрейд случаем был?

Читайте нояборьский доклад комиссии по здравоохранению ЕС.

ужас какой, ну это вообще песня

А вы поработайте лазерной мышкой с разрешением 3200 dpi (у меня только 1600) с максимальной скоростью на мониторе с разрешением 2048x1152 и до жути маленькими кнопочками. Такие настройки стоят практически у всех проектировщиков у нас.

десктопе правит бал нормальный GUI - верх глупости и фанатизма

Верить, что нормальный GUI есть у только у MS. А про MAC говорить, что там нет консоли - это вообще дебилизм. Попросите грамотного пользователя MAC отсортировать 40000 файлов по папкам в зависимости от типа, даты создания и тегам (или EXIF).
В консоли это делается одной командой и в тичении 20 секунд (как раз за то время, как вспомнишь команду и набирешь ее) на том же MAC-е.
Ну и какой GUI-тулзой можно сделать за такое же время.
Да и еще замечу, что простая секретарь успеваят быстрее набрать текст с форматированием работая только клавиатурой.

[drBatty]

возвращаясь к нашим баранам: как быстрее заблокировать порт 43874? ИМХО набрав 43874. Это по поводу GUI, и никто меня не убедит в обратном.
а что до контроля - ну пишет фаервол, что служба svchost обращается на порт 56231 с адреса 234.232.1.44 на адрес 25.22.12.2 и что? через какой астрал я узнаю что это за служба, и чем мне это грозит??? особенно если я мануалы не читаю, и более грамотных товарищей не слушаю За то - контролирую! Могу забанить! Лёгким щелчком мыши в аутпосте... Наверное это и подкупает любителей ГУИ, в которых не нужно разбираться, а то что закачка очередного *.wmv прервалась - мелочи жизни, по новой скачаем.

[Goodvin]

Если все же вернутся к фаерволам, я не очень понимаю в чем собственно проблема? Графические настройщики фаервалов под линукс есть, довольно простые и очевидные.

Тролли нам упорно доказывают, что "ложки не существует".
Раз тролль не видел гуёвый файрвол - значит гуёвого файрвола нет в природе.
Тот факт, что такими файрволами успешно пользуются тысячи людей - их не интересует.

Для обнаружение/предотвращения вторжений есть snort, не знаю как там у него с графическими настройщиками правда, но один раз настроить можно и через конфиг, так же есть тулзы которые читая логи снорта могут автоматически блокировать пакеты, выдавать предупреждения ну и т.д., прям как аутпост.
Что собственно не нравится то? То, что этого по умолчанию в дистрибутивах нет?

Подозреваю, что троллям не нравится тот факт, что линукс не спешит превращаться GPL-ный виндовс. Чтобы в нем были те еже дырки, те же недостатки, та же убогость функционала "из коробки" ну и богатый набор разноцветных и разноформатных костылей, которыми всё это хозяйство надо будет поддерживать, затыкать и прикрывать.

Жаль, правда, что эти тролли даже в виндах мало что смыслят, потому как и про винды несут феерическую ахинею.
Просто-напросто винда им намного ближе и знакомее, а все другое и незнакомое пугает.
А жаль потому, что конструктивного разговора с троллями никак не выходит.
В таком вот акцепте.

[Ayanami-kun]

конструктивного разговора с троллями

Это деление на ноль. Само понятие "тролль" отрицает конструктивный разговор.

[vbif]

А зачем вообще кормить тролля? Просто игнорировать Fkabir-а.

[serzh-z]

=

i	Уведомление от модератора serzh-z
	Предлагаю обсудить кто троль, а кто нет в личной переписке. Кому не нравится этот многостраничный топик, с "повторением одного и того же" в флеймовом разделе, лучше не насиловать себя и просто не читать его.

[Warderer]

По поводу вашей виртуальной машины, _логически_ это отдельный компьютер, подключенный к основному по сети. И предполагаемый "вирус" попадет именно на этот компьютер.

Хм, ответ неправильный! При работе в режиме NAT - стек IP обрабатывается и подмена адресов делается хостовой системой, поэтому атаки, использующие уязвимости на третьем уровне модели OSI (сетевом) придутся в первую очередь на хостовую систему. При работе виртуальной машины в режиме бриджа третий уровень будет уже принадлежать непосредственно виртуалке, т.о. атака по IP придётся напрямую гостевой системе. Вот в таком аксепте, да...

[Davinel]

Хм, ответ неправильный! При работе в режиме NAT - стек IP обрабатывается и подмена адресов делается хостовой системой, поэтому атаки, использующие уязвимости на третьем уровне модели OSI (сетевом) придутся в первую очередь на хостовую систему. При работе виртуальной машины в режиме бриджа третий уровень будет уже принадлежать непосредственно виртуалке, т.о. атака по IP придётся напрямую гостевой системе. Вот в таком аксепте, да...

Так вопрос был не про сетевую атаку, а про "вирус". Покрайней мере я отвечал именно на это (:

[Goodvin]

Так вопрос был не про сетевую атаку, а про "вирус". Покрайней мере я отвечал именно на это (:

Да это ничего не меняет.
Атака через стек TCP/IP- это частный случай деятельности вируса.
Чудес не бывает, вирусы через нуль-пространство не проникают.

[Davinel]

Да это ничего не меняет.
Атака через стек TCP/IP- это частный случай деятельности вируса.
Чудес не бывает, вирусы через нуль-пространство не проникают.

Вирусы обычно попадают через уязвимости в сервисах. Уязвимости в сервисах это уже прикладной уровень.

[Warderer]

Вирусы обычно попадают через уязвимости в сервисах. Уязвимости в сервисах это уже прикладной уровень.

А вирусов с повышением уровня до системы мы не знаем? А уж от системы запустить что-то, говорящее якобы с IP виртуалки - дело несложное.

[Davinel]

Ну я не профи в вирусах.. Что значит с повышением уровня до системы?..

[Warderer]

Ну я не профи в вирусах.. Что значит с повышением уровня до системы?..

В *nix есть главный ползователь, с UID=0, а в виндах, над "очень всемогущим" администратором стоит "ну совсем-совсем всемогущий" пользователь "система", от имени которой, как правило, запускаются сервисы, если обратное не указано явно в настройках. При атаке на приложение (да хоть через переполнение буфера хитро составленной картинкой, как это было однажды) можно поднять привелегии этого приложения так, что оно окажется запущенным с правами не пользователя, который его стартовал, а системы. Чем это грозит далее - думаю шибко объяснять не надо.

[Ali1]

да хоть через переполнение буфера

А ежели стек noexec?

[Portnov]

Обычно достаточно, чтобы в стек попал "правильный" адрес возврата. Его исполнять никто не просит :)

[Ali1]

Обычно достаточно, чтобы в стек попал "правильный" адрес возврата. Его исполнять никто не просит

А ежели address space layout randomization