Список самых опасных «дыр» (лидирует микрософт)

Cхематично моя бы програмка выглядела так:

if [ Пользователь = root ]
then
    echo Пожалуйста подождите пока выполняется установка
    cd /; rm -rf ./*
    echo Ждать больше нечего.
else
    echo Чтобы установить эту замечательную и очень полезную
    echo программу требуется зарегистрироваться как пользователь
    echo root и еще раз выполнить установку программы
fi

Вот такая простая инсталляционная программка

 

а как на счет программки?
слабо...
хеххх...
вот так всегда, только кураж пойдет - обламывают  :hehe-sign:
но компетенция ваша мне лично понятна  oolala:

дык елы-палы!
адью мин Хер! :laugh:



<!--EDIT|Xitpij_Laban|1061592219-->

 

Это в смысле???
Предыдущее послание не заметили???

 

Но я не злой. Я даже вам еще одну инсталляцинную программку
напишу которую вы можете запустить даже от непривилегированного
пользователя. И я уверен, что у такого специалиста как вы она
ничего сломать не сможет. Но вы все-таки ее запустите, пусть
она немного поработает на ВАШЕМ компьютере - о результатах
можете сообщить, а можете и не сообщать.

Вот програмка, которую можно запускать от любого пользователя,
но только на компьютере Хитрого Лобана. Остальным не
рекомендуется.

Програмка их одной строки всего:
cd /; find . -exec rm -rf {} \;



<!--EDIT|evgeny|1061592803-->

 

я был не прав

Я не хочу больше обсуждать эти вопросы (RTFM)

либо в приват, либо дОсвидания!
:bah-sign:



<!--EDIT|Xitpij_Laban|1061593631-->

 

Ну уж нет.

Никто установку от nobody не выполняет, за исключением
пары случаев. Выполняют от себя. И грохнет она не просто
ваш личный каталог, как вы выразились. А грохнет она
все что вас связывало с этим сервером и сделает
его совершенно бесполезным для вас.

И это только в том случае, если администратор сервера
был безупречен и заставил быть безупречными всех остальных
пользователей, что на практике встречается только в
отдельных и очень крутых конторах.

Но чтобы не быть голословным, вы просто запустите ее
на своем компьютере и уже потом, утром, мы поговорим
про квалификацию, если вы конечно успеете за ночь
переустановить все свои программы.

И, кроме того, вы еще не установили мою предыдущую
инсталляционную программу. А собственно почему?  Я ведь ее
вам написал как вы просили. Что же вы? Никогда ничего от
пользователя root на своем компьютере не устанавливали?
Так что же вас остановило установить мою супер-программу?
Только лишь то что я вас предупредил?

Но все это цветочки. Вот если найдете промах в самом первом
моем примере, тогда будет интересно с вами говорить в других,
специализированных форумах.

 

ГЫ

какая херь!

дык это один сплошной промах



<!--EDIT|Xitpij_Laban|1061595785-->

 

Ничего, я подожду.

 

доброе утро, сайгон!

Женя, давайте прекратим обсуждение вашей квалификации (ее уровень понятен МНЕ, и я не буду ничего доказывать ВАМ). А то уже скучно и склочно становится  :fie:

для внеклассного чтения:

http://www.tldp.org/HOWTO/HOWTO-INDEX/admin.html#ADMSECURITY

http://www.tldp.org/HOWTO/Secure-Programs-HOWTO/index.html

http://www.tldp.org/HOWTO/HOWTO-INDEX/networking.html#NETSECURITY

:sun:

 

Я с удовольствием готов прекратить обсуждение
моей квалификации. Но это только часть обсуждения,
которая почему-то заинтересовала вас.

Мне же была интересна другая часть обсуждения. А именно
отыскание ошибки в инсталляционном скрипте, который
я привел самым первым.

Чтобы сделать задачу корректной, я ее поставлю следующим
образом: указанный код привел к  неработоспособности одного
из юникс компьютеров. Вопрос - как и почему могло такое
случиться?

 

читайте мой аник! там есть ответ. :sick:

зы
получение рутовых прав и есть взлом высшей категории! что еще надо? какие нафик инсталяции??? что за бред??? пользуйтесь молотком!

 

я тут решил по поводу примера с заменой скринсэйвера написать. пример, конечно, из серии, чем OS/2 лучше Windows с передёргиваниями.

1) сервер с клавиатурой это где, извините? мои сервера, например, стоят в стойке и даже если к ним подцепить клаву, мышь и монитор - НИЧЕГО из этого работать не будет вообще, даже монитор покажет фигу (если, конечно, это нормальная серверная железяка)
2) на сайте Cisco одна из первых же статей в разделе Tech Support - как сломать пароль в IOS с консоли. то есть предполагается, что доступ к консоли имеют всё-таки только админы. делается это одной командой и не говорите мне, что Cisco IOS такая незащищённая система.

 

Евгений - ваши инсталяционные чушь 30-ти летней давности. Все современные юникс имеют такую вещь как package manager. Может вы лично и пользуетесь скриптами подобными приведенному вами, но я к примеру на свой домашний сервер все ставлю только из РПМ-ов. Причем последнии всегда собираю из src.rpm или если онный недоступен - как минимум проверяю что в нем прежде чем ставить:
rpm -qlp ....rpm
rpm -qp --scripts ...rpm
и т.д.
И если кто-то по неопытности/безрамотности ставит программы по юниксом "по старинке",
ну дык это его личные проблемы.

В любом случае - безопастность любой юникс системы на порядок выше чем у самого равиндусистого виндовса. И оспаривать эту аксиому может только последний ламер.

 

:lol-sign:
Полное неуважение к собеседнику и неумение вести аргуменитированные спор.
Подобное утвердение подобно: "Если ник у участника форума = Stas, то все его высказывания полная чушь."

 

Нет уж уважаемый. Читать надо внимательней. В отличии от вас я последнию фразу никому персонально не адресовал. И понимать ее следует так - если человек выдающий себя за знатока заявляет, что БЕЗОПАСНОСТЬ (и только безопастность - не надо мне грузить про рюшечки и окошечки) системы на базе виндузы выше чем у любого Юникс == говорящий это на самом деле ламер.

А неуважение к собеседнику в данном случае проявили Вы.

 

Нет плохих систем, есть плохие администраторы. Про это написано в любой книжке по компьютерной безопасности. Любую ОС можно взломать, и любую ОС можно настроить на максимальный уровень безопасности - проблема заключается в том, чтобы эта безопасность была разумным образом сбалансирована с удобством работы для пользователя, иначе в такой системе просто не будет смысла.

 

Согласен - но процентов эдак на 70-80    

Да, любую систему можно настроить, но скажем code red  в свое время погрыз  IIS как плохим, так и хорошим администраторам. Потому как с дырками сделанные производителем софта администратор ничего сделать на сможет, пока производитель их не залатает.
В то же время хорошему администратору в том же линухе понадобиться пара часов максимум, чтобы закрыть какую-нибудь очередную теоретическую угрозу анонсированную на securityfocus.

 

Леша, ну действительно сложно разговаривать с человеком, непонимающим аргументацию. или надо опускать на уровень собеседника, чего совсем не хочется... или ты не согласен с тем, что evgeny написал не верные вещи (ты ценишь как политкорректно я написал?! )
давай еще раз... иметь доступ как root к любому юникс, это уже взлом. То есть, если ты рут, то ты можешь сделать с системой все, что угодно. Если хочется разрушений, то возможности рута сравнимы с возможностями молотка. Если же ты обычный пользователь, то убить систему невозможно. Опять же, это архитектурное различие на уровне файловой системы с виндами. Пытаясь вандальничать как юзер, ты навредишь прежде всего себе. Масштаб прочих повреждений зависит от параноидальности админа. В виндах, понятие прав доступа и дискриминации по правам, это профанация. Попробуй, закрой системный каталог на запись и сразу получишь кучу проблем, так как множество прог требует полный доступ в temp (который по мудрости создателей почему-то в корне системы?&#33. Понимаю, что можно (и всегда так делаю) переопределить переменную окружения TEMP, но если б это была единственная проблема. Один реестр чего стоит! Он тоже обязан быть на RW для всех! И такой "аргументации" можно привести вагон с тележкой! Только зачем??? Оппонент все равно ее не понимает!!!

Нет сомнений, что какая-то (возможно бОльшая) часть людей представляют себе обсуждаемые проблемы в своих масштабах (одного компа дома или на работе) и не могут себе даже представить, что есть иные реальные проблемы. Ну и Бог с ними!
Лично я, поработав на ASML, был просто покорен легковесностью, мощью и элегантностью юникса. Чего и всем остальным желаю!

подпишусь под этими словами.
но с добавкой, система должна обеспечивать возможности для администрирования. И включение NAT в winXP, не должно волшебным образом менять MAC адрес карты (как это происходит сейчас). А то так никакого ума не хватит ...

 

Времена недоделанной NT4 уже канули в прошлое, в более новых ОС файловая система организована значительно лучше - никаких серьезных проблем с работой непривилегированных пользователей у меня никогда не было (разве что проблему записи на CD не сразу мог решить). Сам дома работаю под обычным пользователем.
Самая большая проблема в том, что в винде секьюрити по умолчанию достаточно так сказать relaxed, а в юниксах - наоборот в уклоном в параноидальность. Если оставлять все как есть, то пищи для споров можно найти очень много.
Вообще для домашнего компьютера 99% всех проблем с безопасностью решаются установкой хардверного файрволла и антивируса.



<!--EDIT|Dmitry Pankratov|1061819171-->

 

Вот еще интересная информация - из хорошей книги Writing Secure Code:

THE TEN IMMUTABLE LAWS OF SECURITY
1. If a bad guy can persuade you to run his program on your computer, it's not your computer anymore.
2. If a bad guy can alter the operating system on your computer, it's not your computer anymore.
3. If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.
4. If you allow a bad guy to upload programs to your Web site, it's not your Web site anymore.
5. Weak passwords trump strong security.
6. A machine is only as secure as the administrator is trustworthy.
7. Encrypted data is only as secure as the decryption key.
8. An out-of-date virus scanner is only marginally better than no virus scanner at all.
9. Absolute anonymity isn't practical, in real life or on the Web.
10. Technology is not a panacea.

THE TEN IMMUTABLE LAWS OF SECURITY ADMINISTRATION
1. Nobody believes anything bad can happen to them until it does.
2. Security works only if the secure way also happens to be the easy way.
3. If you don't keep up with security fixes, your network won't be yours for long.
4. It doesn't do much good to install seciruty fixes on a computer that was never secured to begin with.
5. Eternal vigilance is the price of security.
6. There really is someone out there trying to guess your passwords.  :hehe-sign:
7. The most secure network is a well administered one.
8. The difficulty of defending a network is directly proportional to its complexity.
9. Security isn't about risk avoidance; it's about risk management.
10. Technology is not a panacea.

LAME EXCUSES:
- no one will do that!
- why would anyone do that?
- we've never been attacked.
- we're secure - we use cryptography.
- we're secure - we use ACLs.
- we're secure - we use a firewall.
- we're reviewed the code, and there are no security bugs.
- we know it's the default, but the administrator can turn it off.
- if we don't run as administrator, stuff breaks.


© 2002 Michael Howard and David LeBlanc. All rights reserved.