Почему небезопасно ставить иксы на сервер?

[fergios]

Почему небезопасно ставить иксы на сервер???

[Goodvin]

Почему небезопасно ставить иксы на сервер???

Этот вопрос сродни "А вы уже перестали пить коньяк по утрам?"

С чего Вы взяли, что "ставить иксы на сервер небезопасно"?

[sciko]

Поддерживаю! Единственное почему их не ставят, они там задарма не нужны. А место и ресурсы на сервере никогда не бывают лишними.

[zenwolf]

Почему небезопасно ставить иксы на сервер???

давайте сразу Windows-95 поставим, чего мелочиться ?

[BIgAndy]

Поддерживаю! Единственное почему их не ставят, они там задарма не нужны. А место и ресурсы на сервере никогда не бывают лишними.

Почему? У меня на сервере Xnest установлен. на нем работает DNC касса. К ней коннектятся 8 терминалов..
Впрочем, и во фрейм буфере она работает.

[Ленивая Бестолочь]

Почему небезопасно ставить иксы на сервер???

если отвечать на вопрос "почему небезопасно", а не на вопрос "почему не нужно", то я лично скажу так:
чем меньше приложений у вас установлено на сервере, особенно сетевых, тем меньше вероятность, что в них найдётся критическая уязвимость и вас через неё взломают.
во многих дистрибутивах иксы работают из-под рута. значит, найдя уязвимость можно получиться права рута.
всякие kdm/gdm/xdm/... могут слушать сеть на предмет query XDMCP.

ну и да. чаще всего иксы на сервере не нужны ;-)

[blackdevil]

Ждем следующую тему с названием "Что такое XDMCP и как отключить query XDMCP"

Автор, поймите пожалуйста, если Вас кто-то очень захочет взломать - он это сделает. Как бы Вы не закрывались и сколько бы сервисов не отключали. Прекратите паранойю на счет сетевой безопасности, лучше возьмите слабенькую машинку, поднимите на ней веб сервер, базу данных, фтп и еще что-нибудь и пустите в интернет. И опыт настройки будет и увидите, будут ли попытки взлома. Ну а взломают - не жалко. Это ж не реальный сервер.

[SLEDopit]

Как бы Вы не закрывались и сколько бы сервисов не отключали.

Ну почему же, если закрыть сервак в темном подвале и отключить от инета (а еще лучше и от питания), то ломать бесполезно (:

[Bluetooth]

Ждем следующую тему с названием "Что такое XDMCP и как отключить query XDMCP"

Автор, поймите пожалуйста, если Вас кто-то очень захочет взломать - он это сделает. Как бы Вы не закрывались и сколько бы сервисов не отключали. Прекратите паранойю на счет сетевой безопасности

...откройте фаервол всем ветрам, понаставьте всякой ерунды на сервер, уберите все пароли. Ведь все равно взломают!

[azsx]

поддерживаю пост ленивой бестолочи, ставить х на сервер надо только в случае необходимости. К примеру если через х терминал будете по сети с сервером работать (я все хотел так побаловаться, хотел, да так и не стал).
зы
как пример - однажды меня взломали через панельку управления сайтами. Вкратце, в панельке была найдена критическая уязвимость, исправлять ее отказались, о чем и предупредили на сайте. А я блин с 20 сайтами на сервере, как идиот попался. Ломали в новый год - как итог, почти две недели сервер не работал. И нужна мне была эта панелька? А если там как в иксах десятки приложений?
зызы
сейчас я даже в одном офисе поставил сервер без х.

[sash-kan]

откройте фаервол всем ветрам

/в сторону
и что такого магического находят люди в действии drop?
каков смысл drop-ать пакеты, пришедшие на порт, который никто не слушает?
а если слушает, то вообще бред какой-то получается…

[Bluetooth]

откройте фаервол всем ветрам

/в сторону
и что такого магического находят люди в действии drop?
каков смысл drop-ать пакеты, пришедшие на порт, который никто не слушает?
а если слушает, то вообще бред какой-то получается…

чтобы, если кто-то решил повесить там слушалку, у него были бы проблемы. И потом бывает, что порт слушает, но при этом не нужно, чтобы слушал отовсюду

[/dev/random]

чтобы, если кто-то решил повесить там слушалку, у него были бы проблемы.

Если кто-то решил повесить там слушалку, вас _уже_ взломали. Иначе бы не смогли повесить слушалку.

[Bluetooth]

чтобы, если кто-то решил повесить там слушалку, у него были бы проблемы.

Если кто-то решил повесить там слушалку, вас _уже_ взломали. Иначе бы не смогли повесить слушалку.

Если меня взломали, то мне нужно самостоятельно отдать все, до чего еще не добрались? Или все же наоборот, противодействовать этому?

[/dev/random]

Если меня взломали, то мне нужно самостоятельно отдать все, до чего еще не добрались? Или все же наоборот, противодействовать этому?

Если вас взломали, то взломщику не обязательно слушать. Он может наоборот приконнектиться куда-нибудь. Возможность слушать ему ничего дополнительного не даст.

Далее, ещё один прикол. Если уж он даже захочет слушать, iptables может оказаться бесполезен! К примеру, ваш сервер удалённо управляется по ssh. Вы выпустили его и в локалку, и в интернет - чтобы управлять из дома. Слушаете на каком-нибудь хитром порту, вроде 0.0.0.0:46722. Разумеется, iptables коннекты к этому порту пропускает - иначе зачем поднимать ssh? А теперь попробуйте запустить программу, которая будет слушать на (внешний IP):46722, и при этом открывать сокет с флагом SO_REUSEADDR. Эта программа начнёт слушать внешний порт вместо ssh! И iptables пропустит к нему все пакеты.

Вообще, по-хорошему, при малейшем подозрении на взлом сервер должен слать SOS и ложиться намертво. Только так можно защитить данные.

[Bluetooth]

Если меня взломали, то мне нужно самостоятельно отдать все, до чего еще не добрались? Или все же наоборот, противодействовать этому?

Если вас взломали, то взломщику не обязательно слушать. Он может наоборот приконнектиться куда-нибудь. Возможность слушать ему ничего дополнительного не даст.

Далее, ещё один прикол. Если уж он даже захочет слушать, iptables может оказаться бесполезен! К примеру, ваш сервер удалённо управляется по ssh. Вы выпустили его и в локалку, и в интернет - чтобы управлять из дома. Слушаете на каком-нибудь хитром порту, вроде 0.0.0.0:46722. Разумеется, iptables коннекты к этому порту пропускает - иначе зачем поднимать ssh? А теперь попробуйте запустить программу, которая будет слушать на (внешний IP):46722, и при этом открывать сокет с флагом SO_REUSEADDR. Эта программа начнёт слушать внешний порт вместо ssh! И iptables пропустит к нему все пакеты.

Вообще, по-хорошему, при малейшем подозрении на взлом сервер должен слать SOS и ложиться намертво. Только так можно защитить данные.

А я и не говорил, что в случае взлома это будет иметь высокую эффективность. Однако, я считаю, что фаер с намертво отброшенными портами в любой ситуации будет безопаснее, чем фаер, который ничего не скрывает. Аналогично же и в отношении установленных на компьютере программ - компьютер с голой системой+нужные сервисы - это однозначно безопаснее, чем комп с установленными помимо нужных сервисов всякой ерундой. И разговоры "а в данном сценарии данный фактор не будет иметь значения" - все мимо кассы.

[fergios]

Спасибо, хорошая инфа к размышлению :-)

давайте сразу Windows-95 поставим, чего мелочиться ?

Зачем?

Ждем следующую тему с названием "Что такое XDMCP и как отключить query XDMCP"

iptables -A INPUT -p udp --dport 177 -j DROP
iptables -A INPUT -p tcp --dport 6000 -j DROP

Вопрос :
все иксы работают от рута?

[watashiwa_daredeska]

все иксы работают от рута?

39.8%

[fergios]

все иксы работают от рута?

39.8%

:-)
http://www.opennet.ru/openforum/vsluhforum...3187.html?n=KOT

Не по теме, но стоит ознакомиться :-)))))))))))))))
http://lurkmore.ru/Не_работай_под_рутом

[drBatty]

/dev/random

полностью согласен. перед падением необходимо всё стереть, а что жалко - зашифровать так, что-бы было невозможно расшифровать. И shred'ом...

[/dev/random]

/dev/random

полностью согласен. перед падением необходимо всё стереть, а что жалко - зашифровать так, что-бы было невозможно расшифровать. И shred'ом...

Дэта жестоко

[drBatty]

Дэта жестоко crazy.gif

почему-же?
имеется ввиду конечно шифрование открытым ключиком. При этом закрытого на этом сервере просто нет (но он есть у админа).

[taaroa]

Вопрос :
все иксы работают от рута?

Нет, не все.
http://lwn.net/Articles/341033/
http://lwn.net/Articles/341035/
https://wiki.edubuntu.org/X/Rootless

...and,

so last night i finally released the test patch for .34, test it out .