Уровни безопасноати Mandrake (Чем они различаются ФИЗИЧЕСКИ?)

[Lemegeton]

Собственно, вопрос: чем, на уровне конфигурации приложений, отличаются "уровни безопаснности" в Mandrake Linux? (Конкретная версия 10.0) Имеется в виду, если я поставлю голое GNU'шное ядро, я ведь смогу повторить "параноидальный" уровень защиты, не так ли?

"Там", конечно, все написано, но возник трабл... На "параноидальном" уровне безопасности даже при отключении файервола (В роли файервола - Shorewall) на машину не идут никакие соединения!!! Меняешь уровень безопасности и, (о чудо!) - все работает! Как с этим бороться?

З.Ы. Заодно, если можно, подскажите, как из консольки менять уровень безопасности!?

[Valerius]

На "параноидальном" уровне безопасности даже при отключении файервола (В роли файервола - Shorewall) на машину не идут никакие соединения!!!

↑

Так потому он и называется параноидальный, что запрещает всё что можна! Логично? B)

Как с этим бороться?

↑

Выставить именно тот уровень, который тебе нужен. Кроме этого его можно довольно гибко настраивать по всем пунктам в Центре управления -> Безопасность -> Уровень и проверки.

З.Ы. Заодно, если можно, подскажите, как из консольки менять уровень безопасности!?

↑

Извиняюсь за глупый вопрос: а нафига ты Мандрейк ставил, если тебе нужна исключительно консоль? Если ты выбрал дистрибутив который не соответствует твоим задачам, то это уже твоя вина а не дистра, выбери что-то в духе "сделай всё сам". Мандрейк - это десктопный дистр, если ты не в курсе.

Valerius добавил в 23.04.2005 14:58

Имеется в виду, если я поставлю голое GNU'шное ядро, я ведь смогу повторить "параноидальный" уровень защиты, не так ли?

↑

Незнаю, мандрейки здорово патчат софт и ядро, потому если ставиш ядро с kernel.org нет никаких гарантий, что всё будет работать так как нужно. Пересобери родное ядро.

[t.t]

голое GNU'шное ядро

↑

Hurd, что ли?

[Lemegeton]

Так потому он и называется параноидальный, что запрещает всё что можна! Логично?

Логично :thumbsup: Но вопрос был в том, как это реализовано!? Никакие настройки firewall и iptables ничего не делают. Я хочу, чтобы он запещал не "все, что можно", а "все, что НУЖНО"

Выставить именно тот уровень, который тебе нужен. Кроме этого его можно довольно гибко настраивать по всем пунктам в Центре управления -> Безопасность -> Уровень и проверки.

А в консоли!? Вот и возник вопрос.

Извиняюсь за глупый вопрос: а нафига ты Мандрейк ставил, если тебе нужна исключительно консоль?

Если мне нужна только консоль и основной набор (bash, tar, rpm), то какая разница!? А Mandrak'овским размещением папок и прог я уже привык.

Незнаю, мандрейки здорово патчат софт и ядро, потому если ставиш ядро с kernel.org нет никаких гарантий, что всё будет работать так как нужно. Пересобери родное ядро.

Ядро у него Gnu'шное. Без гвоздей. Новое GNU'шное пашет в лучшем виде (только USB отвалился, но об этом позже). Вообще, я видел только Федору с заранее пропатченым ядром... Может, заодно, просвятите?

Hurd, что ли?

К сожалению, нет. Но я стараюсь

[Valerius]

А в консоли!? Вот и возник вопрос.

↑

Есть консольная тулза drakconf, но в ней уровни безопасности не настраиваются.
А что тяжело запустить иксы, настроить и выйти?

Вообще, я видел только Федору с заранее пропатченым ядром... Может, заодно, просвятите?

↑

Ядро у мандрейков точно пропатченое, откуда я это знаю уже не помню. Если сомневаешся сделай diff между его сорцами и сорцами с kernel.org (GNU'шными? ) той же версии.

[Lemegeton]

А что тяжело запустить иксы, настроить и выйти?

P100 16ram 1Gb HDD - проблемматично с иксами пусковать. ^_^ Потому и спрашиваю.

сделай diff между его сорцами и сорцами с kernel.org

У меня нет сырцов ядра от Mandrake - у меня Download Edition 3CD. Сырцы на 4-ом диске.

Но это все полемика. Мне бы инфы по сабжу, если можно...

[serg_sk]

Для Lemegeton:
На такой(даже хуже) конфигурацци, у меня спокойно стояли иксы, и менеджер афтерстеп.

[Lemegeton]

По-любому полемика Я уже понял, что в иксах экспы не наберешь. Мне бы из консольки... Если не знать консоль можно смело ставить мастдай толку от Линя без консоли - фиг целых ноль десятых... А ssh, например?

[Valerius]

P100 16ram 1Gb HDD - проблемматично с иксами пусковать.

↑

ууууу. это даже не вписывается в минимальную конфигурацию, по крайней мере по памяти:

Required configuration
* Pentium processor or compatible
* CDROM drive
* At least 32 MB RAM, 64 MB recommended

Да и 1 гиг тоже слишком мало для установки всех приблуд. Всё что могу посоветовать - попробуй заюзать указаный drakconf, остальное - уже ручками. А такие фичи как быстрая настройка уровней безопасности думаю что в твоих условиях врядли можно получить. Придётся настраивать как в других дистрах - путём ковыряеия конфигов.

[sash-kan]

простите за глупый вопрос:
а что, эта самая "безопасность" через некое биополе влияет на прохождение пакетов?
или все-таки через что-то более осязаемое? типа правил iptables.

[Valerius]

Для Sash Kan: Там не только iptables. точнее не только сетевые настройки. Если интересно - хелп в аттаче, неохота топик забивать (если этот атач добавится ).

[sash-kan]

Для Valerius:
и все это свалено в одну кучу под названием "безопасность" ???!!!
я в шоке :) m$ control panel отдыхает :) подоконники - мигрируйте на мандрейк! :)

да уж. на что только люди не идут ради user-friendly-сти...

Для Lemegeton:
что-то мне подсказывает, что в консоли ты _никогда_ ничего подобного такой "безопасности" не найдешь :)
все-таки есть конфиги, скрипты, т.е. мухи отдельно, котлеты отдельно.

[Valerius]

Для Sash Kan:
А чё плохого? опции сгрупированы и даже подсказки есть. к тому же как правило их никто не трогает! Есть несколько профилей, в которых сразу выбирается весь "комплект" настроек. ИМХО очень удобно. А изменить всё в одном месте всётаки проще, чем рыскать по разным конфигам и настраивать разные проги. Для десктопа - самое оно :thumbsup:

[t.t]

Ядро у него Gnu'шное.

↑

Хм, ладно. Объясняю. GNU'шное ядро -- это ядро Hurd, никакого прямого отношения к ядру Линуса (т.е. к ядру линукса ) не имеющее. А ядро же Линуса, которое лежит на kernel.org и кладётся во все дистрибутивы линукса, с патчами или без оных, не имеет никакого прямого отношения к GNU.

Ядро у мандрейков точно пропатченое, откуда я это знаю уже не помню.

↑

Да хотя бы можно взглянуть даже на имена ядрёных пакетов типа kernel-2.x.x-чтото-mdk-чтото (ну, где-то примерно так, не помню), откуда явно следует исключительная mdk-шность такого ядра.

t.t добавил в 26.04.2005 14:01

Для Sash Kan:
А чё плохого? опции сгрупированы и даже подсказки есть. к тому же как правило их никто не трогает! Есть несколько профилей, в которых сразу выбирается весь "комплект" настроек. ИМХО очень удобно. А изменить всё в одном месте всётаки проще, чем рыскать по разным конфигам и настраивать разные проги. Для десктопа - самое оно

↑

Это уже из категории вкуса и цвета

Но что бы мне хотелось сказать, продолжив мысль Sash Kan'а: в консоли вы действительно, как было сказано, скорее всего ничего подобного не найдёте, а следовательно, если вы хотите работать консольными методами, то про методы контрол-центров, по моему наглому мнгению, надо забыть -- это вещи, как бы, не очень совместимые.

[Lemegeton]

Хм, ладно. Объясняю. GNU'шное ядро -- это ядро Hurd, никакого прямого отношения к ядру Линуса (т.е. к ядру линукса wink.gif) не имеющее. А ядро же Линуса, которое лежит на kernel.org и кладётся во все дистрибутивы линукса, с патчами или без оных, не имеет никакого прямого отношения к GNU.

Э-э-э... Опять я ступил. Спасибо. Буду знать.

...про методы контрол-центров, по моему наглому мнгению, надо забыть...

Согласен. Да у меня и шансов нет их даже увидеть.

- А в чем сила, брат?
- В командной строке, брат.

простите за глупый вопрос:
а что, эта самая "безопасность" через некое биополе влияет на прохождение пакетов?
или все-таки через что-то более осязаемое? типа правил iptables.

Я пытаюсь спросить о том же! Правила в порядке. ShoreWall вообще снят (в stop - пусто) - машина из сетки - ни гу-гу.

Придётся настраивать как в других дистрах - путём ковыряеия конфигов.

Уряя! ДобралИсь до сути вопроса! Только вопрос не в том как ЗАКРЫТЬ, а в том, как ОТКРЫТЬ. Притом, частично!

что-то мне подсказывает, что в консоли ты _никогда_ ничего подобного такой "безопасности" не найдешь

...в консоли вы действительно, как было сказано, скорее всего ничего подобного не найдёте...

Ы!? Ну ведь КАК-ТО же это было сделано!? Если один смог сделать, другой сможет повторить!
Я так понимаю (очень надеюсь, что ошибаюсь), что 2/3 этих опций - есть опции ядра!?!?!?

З.Ы. Я, видимо, не правильно выразился. Мне не нужно полностью сменить уровень безопасности (я бы это сделал хотя бы тупорылой переустановкой), мне нужно под этим уровнем безопасности, разрешить конкретные задачи. А они обычными методами (исписанными в мануалах, факах, хаутухах) не решаются. Эта "безопасность" все перебивает. Кто, вообще, пробовал этот "параноидальный" уровень безопасности!? Может, это вообще не нужно?

[Valerius]

Кто, вообще, пробовал этот "параноидальный" уровень безопасности!? Может, это вообще не нужно?

↑

А вот это очень здравая мысль! У меня стоит Стандартный уровень (он как раз и рекомендуется для обычного десктопа), а что касается сети то все лишние порты закрыты iptables-ом, с помощью конфигуралки guarddog это делается за пару минут.

[Lemegeton]

Эх, ладно. Придется менять и закрывать передними конечностями. Хотя жаль. Только хотел разобраться, а тут...

[SergeiAB]

Господа, я извиняюсь, но все-таки так и не въехал, где же закрыты порты??? Никак не могу соединиться по SSH. Поставил (10.1) rc.firewall, все открыл (там по умолчанию SSH открыт) и ничего! Рефьюз... и по hhtp то же. Запарился искать! Подскажите. Мандряковский файервол не устанавливал. Не понятно. На ред хат 4 нету таких проблем.