Re: OpenVZ
Alexey Pechnikov -> debian-russian@lists.debian.org @ Thu, 11 Mar 2010 19:39:36 +0300:
>> На втором месте, скорее всего, какой-нибудь из левых модулей к апачу
>> (сам-то он с трудом ломается, а вот третьесторонние модули у него бывают
>> ужасны) или к тому подобной фигне.
AP> Раз речь о безопасности зашла, то уже почти наверняка апач не держим.
Отнюдь. На остальное смотрел. Либо еще хуже, либо функциональности
недостаточно, а чаще - и то, и другое.
>> Дальше - bind.
AP> Не буду вспоминать про djbdns, просто поинтересуюсь - а что bind?
AP> Смотрим версию в ленни со всеми секьюрити апдейтами, как
AP> предлагаете его ломать?..
Ломают его периодически...
>> А через ssh - это
>> сложно... Ну, разве что у тебя разрешен парольный вход и пароли легко
>> подбираемые.
AP> Не слишком давно было дело с уязвимостью в сертификатах.
У ssh нет сертификатов. Как класса. То есть с чем и где было дело, я
как раз помню. Я не помню, чтобы кого-то успели через это сломать.
AP> Пока что я не вижу, что вы добились, закрывая порт 80. Если кого-то
AP> сломают через php, то через него же и зальют любые нужные файлы, то
AP> же самое с апачем.
"Ты пальцем покажи". Вот у тебя есть уязвимость, позволяющая выполнить
на сервере шелловскую команду. Любую. Но - stdin/stdout у нее в
/dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
у апача или у твоего любимого AOL, скорее всего, будет именно так, если
ошибка не в mod_cgi). Вопрос. Какую команду ты будешь выполнять?
--
Тормоз - тоже механизм, только медленный совсем.
Reply to:
- Follow-Ups:
- Re: OpenVZ
- From: Victor Wagner <vitus@wagner.pp.ru>
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- References:
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
- From: Artem Chuprina <ran@ran.pp.ru>
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>