Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
Хостинги / Домены / Железо
»
Тема:
HqHost отзывы ?
Новая тема
Ответить
цитата
04/08/09 в 16:04
Tornado
1. Да, безопасность того что снаружи. И понятно что безопасность клиентских
данных должна обеспечиваться отдельно. Но безопасность того, что снаружи тоже
имеет смысл. Хотя бы, чтобы оперативно получить доступ к системе, а не
перезагружать ее в rescue image в случае взлома внутри chroot-а.
2. Если апгрейдится и диск (что бывает часто), то нужно копировать данные.
И копировать директорию проще, чем клонировать диск 1:1. И не вижу чем
варинт с переносом chroot окружения принципиально хуже клонирования дисков.
3. Достоинства все-таки есть, хоть и небольшие. Но и неудобства тоже
минимальны. Настроить df внтури chroot-а не сложно. HOWTO не читали,
с grsecurity работаем давно, использовали в разных конфигурациях.
4. Да, способов выйти из chroot окружения достаточно. Я не знаю про какой
сервер вы пишите (если не сложна укажите Ваш логин в нашей системе), возможно там временно ослабляли ограничения grsecurity
на chroot для каких-то целей, можно попробовать работу эксплоита с полностью
включенными ограничениями.
цитата
04/08/09 в 17:23
Sha
Насколько я понимаю если юид 0 то выйти из под чего угодно можно.
chroot - это от случайного удаления корня. По крайней мере хоть удалённо можно будет зайти и перезалить всё.
цитата
04/08/09 в 17:27
Dr.Syshalt
Tornado писал:
1. Да, безопасность того что снаружи. И понятно что безопасность клиентских
данных должна обеспечиваться отдельно. Но безопасность того, что снаружи тоже
имеет смысл. Хотя бы, чтобы оперативно получить доступ к системе, а не
перезагружать ее в rescue image в случае взлома внутри chroot-а.
Ага. И вы вот так вот оставите как есть взломанную систему, будучи уверены, что никуда хакер из chroot не вышел...
Браво.
Если систему взломали, то это означает полную переустановку всего, до голого железа. Точка. Иначе это просто херня полная.
Tornado писал:
2. Если апгрейдится и диск (что бывает часто), то нужно копировать данные.
И копировать директорию проще, чем клонировать диск 1:1.
на линухе копирование диска делается через cp -a /oldroot /newroot
потом chroot /newroot /bin/bash
grub
все
...ладно, это даже скучно.
Tornado писал:
возможно там временно ослабляли ограничения grsecurity
no comments...
цитата
04/08/09 в 22:26
Tornado
> Ага. И вы вот так вот оставите как есть взломанную систему, будучи уверены,
> что никуда хакер из chroot не вышел...
> Браво.
Зачем сразу такие категорические предположения? Естественно мы будем выяснять что произошло с системой в результате взлома.
> Если систему взломали, то это означает полную переустановку всего, до голого
> железа. Точка. Иначе это просто херня полная.
Для начала нужно разобраться куда именно получили доступ взомщики. Или если украли трояном пароль от FTP аккаунта тоже нужно переставлять все?
> на линухе копирование диска делается через cp -a /oldroot /newroot
> потом chroot /newroot /bin/bash
> grub
Это с физическим движением дисков. Когда проще и быстрее обойтись без него и скопировать удаленно. Про rsync нам известно, на всякий случай.
> no comments...
Мы нигде не говорили что chroot это идеальная защита, обеспечивающая
полную безопасность. Мы ни в коем случае не рассчитываем на непробиваемость этого решения. Основая идея - это именно удобство администрирования для нас, при перемещении системы между физическими серверами. А защита - это просто еще один уровень безопасности, который не мешает, но когда-то может и помочь.
цитата
04/08/09 в 22:28
Tornado
и вообще по техническим вопросам организации работы можно спорить много и долго и у каждого будет своя правда.
цитата
04/08/09 в 23:50
dlk44
Tornado писал:
Система действительно chrooted, плюс chroot усилен при помощи grsecurity.
Можете в двух словах объяснить что именно дает этот grsecurity ?
цитата
05/08/09 в 00:39
Dr.Syshalt
dlk44 писал:
Можете в двух словах объяснить что именно дает этот grsecurity ?
тому, кто даже гуглом не в состоянии воспользоваться - ничего
цитата
05/08/09 в 01:14
Gourad
Dr.Syshalt:
там главная проблема не гугл а голова
цитата
05/08/09 в 09:20
Sha
grsecurity никому ничего не даёт. Разве что для самоуспокоения.
цитата
05/08/09 в 15:01
Dr.Syshalt
Оно дает, просто надо понимать, для чего, как и когда. Если бы ребята не занимались ерундой, то могли бы отключить chroot внутри chroot и я бы не вылез наружу так легко ;) Но они не могут этого сделать - потому как внутри chroot должны запускаться такие штуки, как bind - а ему самому chroot нужен (ну или надо быть совсем плохим на голову, чтобы его без chroot запускать, слава богу не додумались). Любой ftp-сервер тоже chroot'ит клиентов, как правило. Вот как раз для того, чтобы заchroot'ить приложения отдельные - вот для этого grsecurity как раз очень хорошо подходит - чтобы влом ftp-сервера не приводил к тому, что отымели всю систему. Но для того, чтобы jail'ить VPSы (ну или как в этом случае - клиентские системы, организованные подобным образом) - он не подходит. Почему я так и прицепился, что никакой дополнительной безопасности это не дает. Напротив, побочные эффекты (к примеру, одна файловая система на клиента, а не разбитая, как полагается, на /var /tmp и пр) как раз напротив - ухудшает и безопасность, и производительность. Сделали это явно для армейского единообразия - и дедики, и VPSы все одинаково устроены, проще перетаскивать и т.д. - а вовсе не из какой-то заботы о клиенте.
цитата
05/08/09 в 15:21
creator123
в hqhost что, есть vps?
цитата
10/08/09 в 19:06
dlk44
Dr.Syshalt писал:
тому, кто даже гуглом не в состоянии воспользоваться - ничего
Одно дело Гугл, а совсем длугое - отзыв человека с заранее известным уровнем квалификации.
цитата
30/03/14 в 02:19
AlbertShv
Ничего не могу сказать хорошего или плохого об этом хостинге и об их ценах, но саппорт очень странный.
цитата
30/03/14 в 12:38
pipe
AlbertShv, и нафига ты такой пыльный топик поднял? Чтобы рассказать про странный саппорт?
Стр.
« первая
<
1
,
2
,
3
Новая тема
Ответить
Эта страница в полной версии